#language cs
#pragma keywords dcsec, nmap, qualys, scanning, ssl, sslscan, tls, htbridge
#pragma section-numbers 2
## 20160504 AK
----
'''česky''' | [[SSLScanner|english]]
----
= Skener TLS/SSL =
<<TableOfContents()>>
Následující oddíly uvádějí nástroje a webová sidle skenovacích a testovacích serverů nebo klientů pro testy funkčnosti TLS/SSL. [V dalších textech výraz HOSTNAME zastupuje buď doménový název počítače (FQDN), nebo jeho IP-adresu.]
== DCSec ==
Web [[https://www.dcsec.uni-hannover.de| výzkumné skupiny DCSEC]] na [[https://www.uni-hannover.de| Leibnizově universitě v Hannoveru]] v Německu poskytuje službu, která
. "...vám dá informace o prostředcích šifrování SSL, které váš prohlížeč používá při zabezpečování spojení HTTPS."
Prohlížečem, který chcete otestovat, otevřete https://cc.dcsec.uni-hannover.de.
== GnuTLS ==
Instalujte nástroje příkazového řádku [[http://www.gnutls.org|GnuTLS]] a v okně terminálu zadejte tyto příkazy:
{{{
$ gnutls-cli --insecure --port 443 --print-cert --verbose HOSTNAME
$ gnutls-cli-debug --port 443 --verbose HOSTNAME
}}}
Další podrobnosti viz [[http://www.gnutls.org/manual/html_node/index.html| dokumentace]].
== Bezpečnostní skener Nmap ==
Z příkazového řádku zadejte skript `ssl-enum-ciphers` pro [[http://nmap.org| Bezpečnostní skener Nmap]]:
{{{
$ nmap --script ssl-enum-ciphers -p 443 HOSTNAME
}}}
k proskenování serveru.
. "Tento skript opakovaně zahajuje spojení SSL/TLS a pokaždé se pokouší použít nové šifrování nebo kompresi a zaznamená, zda počítač požadavek přijal nebo odmítl. Konečným výsledkem je seznam všech druhů šifrování a kompresí, které server ovládá."
{{{#!wiki note
'''Pozor:'''
Běh tohoto skriptu je zatěžující, neboť musí zahájit ''mnoho'' spojení se serverem, takže ho značně zatíží. Proto trvá několik minut.
}}}
Další podrobnosti a zdrojový skript: [[http://nmap.org/docs.html| dokumentace Nmap]].
=== Příklad: secure.cacert.org ===
Následující příklad testuje počítač `secure.cacert.org`:
{{{#!highlight text numbers=on
$ nmap --script ssl-enum-ciphers -p 443 secure.cacert.org
Starting Nmap 6.00 ( http://nmap.org ) at 2014-10-21 21:06 CEST
Nmap scan report for secure.cacert.org (213.154.225.246)
Host is up (0.072s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0
| Ciphers (12)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_SEED_CBC_SHA - unknown strength
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_SEED_CBC_SHA - unknown strength
| Compressors (1)
| NULL
| TLSv1.1
| Ciphers (12)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_SEED_CBC_SHA - unknown strength
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_SEED_CBC_SHA - unknown strength
| Compressors (1)
| NULL
| TLSv1.2
| Ciphers (24)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - unknown strength
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - unknown strength
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
| TLS_DHE_RSA_WITH_SEED_CBC_SHA - unknown strength
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - unknown strength
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - unknown strength
| TLS_RSA_WITH_AES_128_CBC_SHA - strong
| TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
| TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
| TLS_RSA_WITH_AES_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_AES_256_CBC_SHA256 - unknown strength
| TLS_RSA_WITH_AES_256_GCM_SHA384 - unknown strength
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - unknown strength
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - unknown strength
| TLS_RSA_WITH_SEED_CBC_SHA - unknown strength
| Compressors (1)
| NULL
|_ Least strength = unknown strength
Nmap done: 1 IP address (1 host up) scanned in 135.04 seconds
}}}
Legenda:
* starting Nmap = spouštím Nmap
* Nmap scan report for... = protokol skenu Nmap pro...
* host is up = [testovaný] počítač je aktivní
* strong = silné [šifrování]
* unknown strength = síla [šifrování] není známa
* least strenght = nejmenší síla [nejslabší šifrování]
== OpenSSL ==
Instalujte nástroje příkazového řádku [[https://www.openssl.org|OpenSSL]] a zadejte v okně terminálu tento příkaz:
{{{
$ openssl s_client -connect HOSTNAME:443 -prexit -showcerts -state -status -tlsextdebug -verify 10
}}}
Další podrobnosti mohou být v [[https://www.openssl.org/docs| dokumentaci OpenSSL]]... :-)
== Qualys SSL Labs ==
[[https://www.ssllabs.com|Qualys SSL Labs]] nabízí dva testy.
* Použijte velmi podrobné skenování serveru: [[https://www.ssllabs.com/ssltest| test SSL/TLS serveru]]. Pozor, tento test používá [[https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/included| úložiště certifikátů]], které udržuje Mozilla.
* Viz [[https://www.ssllabs.com/ssltest/viewMyClient.html| Schopnosti Vašeho prohlížeče ohledně SSL/TLS]].
=== Příklad: secure.cacert.org ===
. {{attachment:Qualys_SSL_Labs-1.png}}
== High_Tech bridge ==
Švýcarský tester [[https://www.htbridge.com/ssl|HT Bridge]] hodnotí bezpečnost domén s weby podobně jako předchozí Qualys. Po otestování zobrazí "report", hlášení o výsledcích, na téže webové stránce. K hodnocení se zadává pouze název internetové domény.
/!\ Pozor, tento tester dosud (12.2015) nepracuje s adresami IPv6 /!\
=== Příklad: test domény cacert.org ===
{{attachment:HTbridge-CAcert.gif}}
== sslscan ==
Obálka kolem OpenSSL pro výpis seznamu použitelných druhů šifrování TLS/SSL na serveru.
{{{#!wiki note
'''Pozor:'''
Původní projekt na http://sourceforge.net/projects/sslscan se zdá být opuštěn. Jeho větev vyžadující [[https://github.com/DinoTools/sslscan/blob/master/Changelog|více pozornosti]] lze najít na https://github.com/DinoTools/sslscan.
}}}
=== Příklad: www.cacert.org ===
Následující příklad zkoumá počítač `www.cacert.org`:
{{{#!highlight text numbers=on
$ sslscan --no-failed www.cacert.org
___ ___| |___ ___ __ _ _ __
/ __/ __| / __|/ __/ _\ | /_ \
\__ \__ \ \__ \ (_| (_| | | | |
|___/___/_|___/\___\__/_|_| |_|
Version 1.8.2
http://www.titania.co.uk
Copyright Ian Ventura-Whiting 2009
Testing SSL server www.cacert.org on port 443
Supported Server Cipher(s):
Accepted TLSv1 256 bits ECDHE-RSA-AES256-SHA
Accepted TLSv1 256 bits DHE-RSA-AES256-SHA
Accepted TLSv1 256 bits DHE-RSA-CAMELLIA256-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits ECDHE-RSA-AES128-SHA
Accepted TLSv1 128 bits DHE-RSA-AES128-SHA
Accepted TLSv1 128 bits DHE-RSA-SEED-SHA
Accepted TLSv1 128 bits DHE-RSA-CAMELLIA128-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits SEED-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Prefered Server Cipher(s):
TLSv1 256 bits ECDHE-RSA-AES256-SHA
SSL Certificate:
Version: 2
Serial Number: 979116
Signature Algorithm: sha512WithRSAEncryption
Issuer: /O=Root CA/OU=http://www.cacert.org/CN=CA Cert Signing Authority/emailAddress=support@cacert.org
Not valid before: Apr 28 20:57:55 2014 GMT
Not valid after: Apr 27 20:57:55 2016 GMT
Subject: /C=AU/ST=NSW/L=Sydney/O=CAcert Inc./CN=www.cacert.org
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Public-Key: (2048 bit)
Modulus:
00:c4:83:f3:42:d0:0b:ee:f9:3f:e2:1f:63:c5:a3:
84:e3:fd:c5:c2:a7:68:16:62:da:88:58:45:a5:dd:
41:16:c0:e7:9e:3b:2e:13:36:ee:b4:83:12:ca:a8:
a6:a6:8d:6c:d6:e8:6e:67:f7:f3:90:bd:69:98:93:
ee:14:2b:6f:2a:a4:b2:f6:6a:8f:e7:4c:9f:f5:f5:
8b:97:18:fc:3c:91:a4:6d:69:d2:b3:8b:e8:6a:e1:
0f:db:b1:90:b2:19:16:21:a6:ec:db:25:bf:23:c5:
6b:26:86:20:48:7b:c9:78:38:d3:dd:e4:eb:d5:a9:
a5:0b:32:53:66:af:bd:8b:ac:f1:fb:fc:f4:f6:67:
b9:a2:d3:fe:61:6d:eb:f3:f2:7d:55:92:d1:74:ea:
ab:82:4e:78:52:71:8e:e0:46:14:a5:1d:cc:89:52:
52:35:5a:0b:b1:16:8d:50:06:3c:07:c7:a1:d5:79:
91:51:8c:05:dd:25:c5:06:49:82:11:e2:61:fa:f1:
af:5b:34:e8:cb:4d:cf:2d:ba:e7:35:c0:de:f3:27:
e4:ef:a5:d4:20:3d:9e:37:cd:48:09:2c:29:23:9b:
bd:d7:aa:27:18:73:6c:b8:b7:54:98:72:f4:16:0c:
9a:95:26:90:4e:6e:9c:9b:54:75:ca:2b:79:12:05:
c1:cb
Exponent: 65537 (0x10001)
X509v3 Extensions:
X509v3 Basic Constraints: critical
CA:FALSE
X509v3 Key Usage: critical
Digital Signature, Key Encipherment, Key Agreement
X509v3 Extended Key Usage:
TLS Web Client Authentication, TLS Web Server Authentication, Netscape Server Gated Crypto, Microsoft Server Gated Crypto
Authority Information Access:
OCSP - URI:http://ocsp.cacert.org/
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl.cacert.org/revoke.crl
X509v3 Subject Alternative Name:
DNS:www.cacert.org, othername:<unsupported>, DNS:secure.cacert.org, othername:<unsupported>, DNS:wwwmail.cacert.org, othername:<unsupported>, DNS:cacert.org, othername:<unsupported>, DNS:www.cacert.net, othername:<unsupported>, DNS:cacert.net, othername:<unsupported>, DNS:www.cacert.com, othername:<unsupported>, DNS:cacert.com, othername:<unsupported>
Verify Certificate:
unable to get local issuer certificate
}}}
Legenda:
* Supported Server Ciphers = druhy šifrování podporovsné serverem
* Accepted = přijatelný
* Prefered Server Cipher(s) = přednostní druh(y) šifrování na serveru
* SSL certificate = certifikát SSL:
* Serial Number = pořadové číslo
* Signature Algorithm = algoritmus podpisu
* Issuer = vydavatel[ská CA]
* Not valid before = začátek platnosti certifikátu
* Not valid after = konec platnosti certifikátu
* Subject = předmět
* Public Key Algorithm = algoritmus veřejného klíče
* RSA Public Key = veřejný klíč RSA
* X509v3 Extensions = rozšířené údaje v certifikátu verze 3
* Authority Information Access = (AIA) přístup k údajům [certifikační] autority
* CRL Distribution Points = distribuční místa seznamu odvolaných certifikátů (CRL)
* Subject Alternative Name = alternativní názvy předmětu
* Verify Certificate: unable to get local issuer certificate = ověření certifikátu: nelze najít místního vydavatele certifikátu
== tlsfun ==
Některé testy jsou na [[https://tlsfun.de|tlsfun.de]]; vytvořil je [[https://hboeck.de|Hanno Böck]].
== ZMap ==
Vědci z University of Michigan vyvinuli [[https://zmap.io|ZMap]], open-source síťový vyhledávač, kterým lze snadno provádět síťové studie na Internetu.
* https://zmap.io/sslv3 - útok "POODLE Attack" a nasazení SSL verze 3
----
. CategorySoftware