Время на прочтение
4 мин
Количество просмотров 148K
От переводчика.
Привет! В последнее время было обнаружено довольно много уязвимостей, связанных с SSL, поэтому мне захотелось сделать перевод статьи, в которой собран список инструментов для тестирования SSL, TLS и различных уязвимостей. В статье довольно много терминов, поэтому хочу извиниться, если что-то перевела не совсем корректно. Если вы можете предложить лучший вариант перевода, пожалуйста, напишите в личные сообщения.
Проверяйте SSL, TLS и шифрование
Проверка SSL необходима для обеспечения правильного отображения параметров сертификата. Существует множество способов проверки SSL-сертификатов. Проверка с помощью инструментов в сети позволяет получить полезную информацию, находящуюся ниже. Она также поможет вам выявить угрозы на ранних стадиях, а не после получения жалобы клиента.
Я получил ряд вопросов после своей последней публикации «Усиление защиты Apache. Гид по безопасности» о проверке TLS и SSL. В этой статье я расскажу вам о некоторых полезных инструментах для проверки SSL-сертификатов в сети.
Symantec SSL Toolbox
Проверка CSR — очень важно проверить CSR перед отправкой для подписи запроса. Вы сможете удостовериться в том, что CSR содержит все требуемые параметры, например, CN, DN, O, OU, алгоритм и др.
Проверка установки сертификата — после установки всегда полезно удостовериться в том, что сертификат действителен и содержит необходимую информацию. Этот онлайн инструмент позволит вам проверить CN, SAN, название организации, OU, город, серийный номер, тип применяемого алгоритма, длину ключа и подробности о цепочке сертификата.
Wormly Web Server Tester
Тестирование web сервера от Wormly позволяет получить подробный обзор параметров ссылки. Обзор включает в себя данные о сертификате (CN, срок действия, цепочка сертификата), шифровании, длине открытого ключа, безопасности повторного согласования, протоколах типа SSLv3/v2, TLSv1/1.2.
DigiCert SSL Certificate Checker
Инструмент для проверки установки SSL сертификатов от DigiCert — еще один прекрасный инструмент, который позволит вам преобразовать DNS в IP адрес, узнать кто выдал сертификат, его серийный номер, длину ключа, алгоритм подписи, SSL-шифрование, поддерживаемое сервером и срок действия сертификата.
SSL Shopper
Проверка SSL от SSL Shopper — подойдет для быстрой проверки типа сервера, срока действия, SAN и цепочки доверия. Вы сможете оперативно найти ошибку в цепочке сертификата или узнать, что он не работает должным образом. Инструмент отлично подходит для устранения неполадок в работе.
GlobalSign SSL Check
Проверка конфигурации SSL от GlobalSign предоставляет очень подробную информацию о веб-сервере и SSL. Инструмент ставит баллы в зависимости от данных сертификата, поддержки протоколов, обмена ключами и надёжности шифра. Это незаменимый инструмент при настройке нового безопасного URL или проведении аудита. Обязательно попробуйте!
Qualys SSL Labs
Позволяет оценить ваш сайт в отношении безопасности SSL-сертификата. Предоставляет очень подробную техническую информацию. Советую системным администраторам, аудиторам, инженерам по интернет-безопасности для выявления и наладки “слабых” параметров.
Free SSL Server Test
Производит проверку вашей https ссылки и отображает следующую информацию, которую при желании можно скачать в PDF-формате:
- Совместимость PCI DSS
- Соответствие принципам NIST
- Размер DH
- Поддержка протоколов
- Поддержка шифров
- Откат TLS соединения
- Поддержка повторного согласования
- Основные наборы шифров
- Контент третьих лиц
COMODO SSL Analyzer
SSL анализатор от COMODO позволяет провести анализ https URL и быстро получить отчеты по различным параметрам, включая
- Серийный номер
- Отпечаток
- Действительность SSL-сертификата
- Эмитент
- Поддержка протокола (SSL/TLS)
- Защита от атак Downgrade
- Безопасность повторного согласования (по инициативе сервиса или клиента)
- Сжатие
- Session tickets
- Активные наборы шифрования
SSL Checker
Что действительно хорошо в SSL Checker, так это то, что инструмент позволяет настроить напоминание (за 30 дней) об истечении срока действия сертификата. Это отлично, мне кажется, что бесплатно эту услугу больше нигде получить нельзя. Кроме того, инструмент позволяет выполнить базовую проверку таких параметров, как:
- Цепочка сертификата
- Корневой сертификат
- Алгоритм подписи
- Отпечаток
- Элементы цепочки
- SAN
HowsMySSL
Этот инструмент отличается от остальных. Он позволяет проверить клиента (браузер) и получить оценку состояния по следующим параметрам:
- Поддерживаемая версия протокола
- Сжатие
- Поддержка session ticket
- Поддерживаемое шифрование
Для проверки клиента, просто зайдите на HowsMySSL в браузере.
Другие инструменты онлайн-проверки
Проверка уязвимости POODLE:
- https://www.tinfoilsecurity.com/poodle
- https://entrust.ssllabs.com/index.html
- https://www.ssllabs.com/ssltest/
- https://pentest-tools.com/network-vulnerability-scanning/ssl-poodle-scanner
Проверка уязвимости FREAK:
- https://tools.keycdn.com/freak
Проверка уязвимости LogJam:
- https://weakdh.org/sysadmin.html
Проверка уязвимости SHA-1:
- https://shaaaaaaaaaaaaa.com/
Я считаю, что перечислил все бесплатные онлайн-инструменты для проверки параметров SSL-сертификата и получения достоверной технической информации для проведения аудита и обеспечения безопасности веб-приложений. Если вам понравилось, поделитесь с друзьями.
P. S. Приглашаем в наше Хостинг Кафе. Работают и активно развиваются 6 сайтов для поиска хостинговых услуг:
- VDS.menu — Поиск виртуальных серверов
- SHARED.menu — поиск виртуального хостинга
- DEDICATED.menu — поиск выделенных серверов
- HTTPS.menu — поиск SSL сертификатов
- LICENSE.menu — поиск лицензий
- BACKUP.menu — поиск места для резервных копий
Спасибо andorro за помощь с подготовкой публикации.
Проверить SSL-сертификат — значит убедиться, что он установлен правильно и сайт работает по защищённому протоколу HTTPS.
Чаще всего проверка нужна, если:
- вы только что установили сертификат,
- хотите проверить возможные угрозы и сделать профилактику сайта, не дожидаясь жалоб со стороны клиентов,
- хотите совершить транзакцию на веб-ресурсе (оплатить услугу, ввести паспортные данные или другое), но сомневаетесь в его надёжности.
Ниже мы расскажем, как проверить сертификат SSL с помощью онлайн-сервиса REG.RU. Инструкции также подойдут для проверки защищённого TLS-соединения.
Проверка SSL-сертификата через онлайн-сервис REG.RU
Онлайн-сервис проверки SSL от REG.RU — это простой и понятный инструмент, который быстро определяет, можно ли доверять веб-ресурсу. С его помощью вы узнаете: установлен или нет на сайте сертификат безопасности, какие дополнительные имена защищает сертификат, а также дату начала и окончания действия SSL. Чтобы проверить сертификат, достаточно знать домен или URL-адрес сайта, на который он установлен.
Как пользоваться онлайн-сервисом REG.RU
Введите домен или URL и кликните Проверить:
- Если SSL-сертификат установлен корректно, вы увидите подобный результат. Если SSL заканчивается, сервис предупредит об этом. Если вы заказывали SSL в REG.RU и хотите продлить его, следуйте инструкции Продление SSL-сертификата.
- Если SSL-сертификат не установлен, вы увидите предупреждение. Если сайт ваш и вы хотите защитить его, кликните Выбрать сертификат. Подробнее: Общая информация по SSL.
Теперь вы знаете, как проверить HTTPS сайта, и сможете обезопасить себя и посетителей вашего сайта.
What is an SSL certificate?
In an SSL Certificate, an organization’s details are bound to a cryptographic key. By using the padlock and the HTTPS protocol, it enables a secure connection from a web server to a browser. It is common to use SSL to secure credit card transactions, data transfers, and logins. Social media sites are also using SSL for security.
What type of encryption does SSL use?
The SSL protocol makes use of RSA’s asymmetric and symmetric encryption algorithms, where asymmetric encryption helps establish a secure client-server connection and symmetric encryption helps with exchanging secure information over an existing secured session, also known as an SSL handshake.
What is the importance of the SSL certificate?
- Authentication — It ensures you are connecting to the right server
- Encryption — Ensures data transmission security (i.e., server to server, browser to the server, apps to the server, etc.).
- Data integrity — Validates whether the data requested or submitted is the data delivered. The data between your clients and servers will not be modified during transit.
- SEO ranking — Google has announced SSL certificates as a ranking factor, so if you have an SSL certificate, it could improve your search ranking.
How do you check my website has SSL?
There are two ways to see if your website has an SSL certificate
- In the URL of your website, check to see if HTTPS is included. If it is, your website has an SSL certificate.
- Alternatively, you can use the free SSL Certificate Checker tool. Enter the domain name, click on it, scan my site, and the results will appear.
Do SSL certificates expire?
Yes, when an SSL certificate’s validity expires, the certificate becomes invalid. SSL certificates typically have a validity period of 1 to 2 years.
How do I know when my SSL expires?
With the free SSL certificate checker tool, you can determine whether the certificate is valid. There is no need to download any software to use it.
What is an SSL certificate validation tool?
An SSL certificate validation tool is an online free tool that helps validate the authenticity of an SSL certificate. It does this by checking the SSL certificate for any errors, and then verifying that the certificate has been signed by a trusted authority. This process helps to ensure that the SSL certificate is valid and that the website is secure.
Can I monitor SSL certificate consistently?
Yes, you can monitor your website’s SSL certificate with Synthetic Monitoring offered by Atatus. It provides in-depth metrics by validating your SSL certificate with a detailed report.
Поддержка LeaderSSL
оффлайн.
Режим работы: пн. — пт. с 9:00 до 19:00 (по московскому времени) без перерыва на обед.
Обработка заказов и выпуск сертификатов — круглосуточно.
Домен:
SSL certificate checker is 1 of 13 free tools provided by cmlabs. This tool is used to check whether the SSL (Secure Socket Layer) certificate on your web server is installed correctly and is valid.
SSL Checker can display Common Name, server type, publication, validity, certificate chain, and additional certificate details. Just by inputting the hostname or IP address of your server in the box provided and clicking «Check», you can immediately see the details related to the SSL certificate.
Importance of SSL Certificate for Your Website
Secure Socket Layer or SSL is a security protocol used to protect data on the internet. In general, this protocol serves to secure the process of exchanging personal data of website users, such as email addresses, credit card numbers, and other sensitive information.
SSL works by encrypting data so that third parties cannot steal information during the data exchange process. SSL requires a private key and a public key to create a session key which is used in the encryption and data decryption process.
The existence of an SSL certificate is proof that a website has guaranteed security. Therefore, it is important to have a valid SSL to maintain website security.
SSL Usage
One of the most important functions of SSL is to support the security of your website data and visitors. Some of the functions of SSL are as follows:
Strengthening Website Identity
Websites that have used an SSL certificate has a good reputation in the eyes of users and search engines. The existence of an SSL certificate can also minimize user concerns about the security of the personal data they enter on your website.
Protecting Important Website Data and Information
SSL certificates are useful for protecting websites from cybercrimes. If your website requires an email, password, or other sensitive data to log in, of course, you need to protect that data using an SSL certificate. In this way, user trust will increase.
Optimizing Website Performance on Search Engines
The use of HTTPS which is characterized by ownership of an SSL certificate is one of Google’s ranking factors. Therefore, websites that already have an SSL certificate will certainly have better performance in organic search.
Comply with Online Transaction Rules
For e-commerce websites that provide online payment systems, SSL is a must-have. Because there is a Payment Card Industry Data Security Standard rule that requires websites to use an SSL certificate.
SSL Certificate Types
The selection of an SSL Certificate requires careful consideration based on the results of the analysis related to the needs and budget of the website. Consider the type of SSL certificate to choose before you buy it.
We recommend that you choose an SSL certificate according to the core needs of each web. These certificates are divided into two types, certificates based on the validation process and certificates based on the number of domains.
-
SSL Certificate Based on Validation Process
-
SSL Certificate Based on Number of Domains
Determine the intent or purpose of the website before deciding on the type of certificate. This is necessary because SSL is very influential on the authentication and encryption process of a website. The types of certificates according to the validation process are as follows:
Extended Validation (EV)
Extended Validation is an SSL certificate type with the highest level of encryption. For websites with sensitive data transmission activities that require more legitimacy, such as online payments that require a lot of user confidential data, it is recommended to use Extended Validation.
The feature provided by Extended Validation is the green address bar along with the company name, which makes the website look more classy. However, if a website wishes to have an Extended Validation Certificate, there are some special conditions.
Organizational Validation (OV)
Organization Validation is an SSL certificate with a moderate level of encryption. This type of certificate is perfect for public websites such as government agency websites, as well as for websites that perform simple transmissions of sensitive data such as entering emails, usernames, and passwords.
The OV type certificate will also protect the user’s sensitive data during the data transmission process.
Domain Validation (DV)
This is a basic SSL certificate with the lowest level of encryption. This type of certificate is recommended for blog or web owners who do not require sensitive data transmission processes.
How to get this certificate is very easy, the validation process only requires a domain email address.
In choosing an SSL Certificate, you need to consider the number of domains and subdomains to protect. By choosing the right certificate, you can save a lot of money. The following explains the types of SSL certificates by domain:
Multi-Domain SSL
Is a type of certificate that is much sought after because the price is relatively cheap. The multi-domain type of SSL provides configuration for multiple domains and sub-domains in a single host.
One of the features of Multi-Domain SSL is access to add, delete, and also change the Subject Alternative Name (SAN) according to the needs of the website.
Wildcard SSL
Wildcard SSL is a type of certificate that can protect one primary domain and protect unlimited subdomains. Wildcard SSL certificates are suitable for websites with many subdomains.
This certificate is considered more effective and also saves on administrative costs because you do not need to buy certificates for one domain separately. If the website has a Wildcard certificate, the subdomains within it will also be protected by SSL automatically.
Single Domain SSL
Only one domain or one subdomain can be covered by this certificate. In using Single Domain SSL, you must choose to provide protection to a primary domain or a subdomain.
As a simple example, if the cmlabs.co website uses a Single Domain certificate and chooses to protect the primary domain, the tools.cmlabs.co subdomain website will not be protected. Likewise, if you choose to protect a sub-domain, the main cmlabs.co domain will not be protected.
How SSL Certificates Work
SSL works by encrypting data in a very fast process per millisecond. As a description and encryption of the data transport mechanism, SSL operates using 2 simple methods. The basic methods are:
Public Key
Public key cryptography, also known as an asymmetric cryptographic key, is a method that encrypts and describes data using two paired keys. In the asymmetric cryptography method, data that has been sent using the private key will only be opened using the public key, so in this method, the data security process requires two connected keys.
Private Key
Private Key Cryptography or also known as symmetric cryptography key is an SSL working method that encrypts data with only one private key. If you want to decrypt data, both the sender and recipient must have an unlock key.
To operate SSL Certificate Checker for free, here are steps.
Open SSL Certificate Checker page
First of all, you have to open the page of this tool. After that, you will see several available features such as the URL column, display results, checking history, to a brief explanation of this tool.
Figure 1: Initial view of cmlabs SSL Certificate Checker
Enter Website URL
To view the status and detailed information of a website’s SSL certificate, you must enter the website’s URL in the field provided. Make sure you have entered the URL in the correct format (e.g https://example.com). Next, click the «Check URL» button to give the command to this tool to start checking the website.
Figure 2: Entering the website URL to find out the SSL certificate information
View SSL Certificate Check Results
After you press the Check URL button, the system will immediately display the results of the SSL certificate check quickly. The Result field can display some information such as
Figure 3: SSL certificate check results
SSL Certificate
In the results field, the main thing that appears is TLS Certificate (SSL Certificate) information such as:
- Common Name: domain name
- Subject Alternative Name: shows all domain names and IP addresses secured by the certificate
- Issuer: certificate issuing agency
- Serial Number: certificate number
- SHA1 Thumbprint: the unique thumbprint each certificate has
Certificate Expiration Date
With this tool, you can also find out when the certificate from the website you are checking will expire. This can make it easier for you to maintain a good SSL installation.
SSL Installation Status
In addition to certificate details, this tool can display the certificate installation status on the website. SSL installation must be done properly because you are responsible for website visitor information.
View Checking History
The last feature of this tool is your Local History. This tool allows you to view all URL history that has been checked using this tool.
With this feature, you don’t need to re-type the URL that was checked if you want to re-check it. You can also delete usage history using the «Clear» button on the right side of the usage history feature.
Figure 4: Local History feature to view the history of checking the SSL certificate checker.
Login After 5 Times Usage
Some of the cmlabs tools require a login process after 5 times of use, SSL Certificate Checker is one of them. If you have used it for 5 times, our system will automatically display a message stating that you have reached the usage limit.
Figure 5: Usage warning has reached the limit. In this warning, there is a login button that directs to the login page.
You can log in by clicking the login button on the warning message that appears. Next, you will be directed to the cmlabs login page. Please enter the required data, or you can log in via Google.
Figure 6: cmlabs login page
Once you have successfully logged in, you will be able to return to using this tool to check SSL certificates for free. By logging in, the system can save historical data on the use of this tool in the last one year.