News

Tool Tuesday – TLS/SSL Scanning Tools

Aug 6, 2019

Es gibt unzählige Tools und Varianten, um TLS/SSL-Verbindungen zu testen. Mit diesen drei einfachen Werkzeugen können Sie ganz einfach Ihre eigenen Konfiguration überprüfen. 

Kurz vornweg: TLS (Transport Layer Security) bzw. die Vorgängerversion SSL (Secure Socket Layer) sind Protokolle, die für die verschlüsselte Datenübertragung genutzt werden. Beim Verbindungsaufbau werden zwischen Client und Server verschiedene Parameter ausgehandelt. Welche Parameter zur Aushandlung bereitstehen, wird in der Konfiguration des Servers festgelegt.
Um diese Konfiguration zu prüfen – ob für einen Penetrationstest oder für den firmeninternen Compliance Check – stehen verschiedene Tools zur Verfügung, um die Arbeit zu erleichtern.
Wir haben uns die drei Tools: O-Saft, sslscan und testssl näher angeschaut und diese miteinander verglichen.

O-Saft

O-Saft besticht zunächst mit seinem originellen Namen. Es ist ein Perl basierter Scanner mit jeder Menge Einstellmöglichkeiten. Die Besonderheit ist, dass O-Saft nicht nur die angebotenen Ciphers des Servers bewertet und ausgibt. Der Scanner kann einen TCP-Socket öffnen und SSL/TLS-Handshakes senden. Der große Vorteil an dieser Methode ist, dass ohne zusätzliche oder veraltete Bibliotheken das Vorhandensein von SSLv2 getestet werden kann.
Die Ausgabe erfolgt in Textform auf der Konsole. Diese kann wahlweise auch in eine Datei umgeleitet werden.

Mehr Informationen unter: https://github.com/OWASP/O-Saft

sslscan

sslcan muss installiert oder kompiliert werden, da es ein C-basiertes Programm ist. Das Kompilieren hat den Vorteil, dass man alte openssl Bibliotheken verwenden kann, um Beispielsweise SSLv2 oder SSLv3 zu testen.
Die Ausgabe erscheint sehr übersichtlich und in verschiedenen Farben unterteilt auf der Konsole (gut geeignet für Screenshots). Wahlweise kann die Ausgabe in Form einer XML-Datei erfolgen.

Mehr Informationen unter: https://github.com/rbsec/sslscan

testssl

testssl ist ein Bash-Skript. Daher ist kein Installieren oder Kompilieren nötig. Der Scanner bedient sich der aktuellen openssl Version auf dem System. Somit können nur Protokolle und Ciphers getestet werden, die von dem aktuellen openssl unterstützt werden.
Die Ausgabe ist sehr Umfangreich. Sie gibt nicht nur Aufschluss über die Verwendeten Cipher und Zertifikate sondern auch über mögliche Schwachstellen und Angriffe. Darüber hinaus kann die Ausgabe in verschiedene Formate, wie z.B. eine JSON-Datei oder CSV-Datei, geschrieben werden, um sie weiter zu verarbeiten.

Mehr Informationen unter: https://github.com/drwetter/testssl.sh

Haben Sie Fragen zum Thema Sicherheit von TLS/SSL? Kontaktieren Sie uns gerne! 

Tool Tuesday - TLS/SSL Scanning Tools

Recent posts

Attack Afternoon – CSRF

CSRF steht für „Cross-Site Request Forgery“ und ist ein Klassiker unter den Angriffen auf Webanwendungen. Mit diesem Angriff ist es möglich, Nutzer bestimmte Aktionen ausführen zu lassen, ohne dass sie diese beabsichtigen. Aber wie funktioniert dieser Angriff genau?

mehr lesen

mgm sp @ Dresden

Unser zweites Büro befindet sich in Sachsens Landeshauptstadt, Dresden. Statten Sie unserem Standort dort einen Besuch ab!

mehr lesen

mgm sp @ Heise DevSec

Mit dem Thema „Wie praxistauglich ist „DevSecOps“ wirklich? – Ein Erfahrungsbericht“ ist unsere Kollegin Maximiliane Zirm dieses Jahr auf der Heise devSec vertreten. 

mehr lesen

Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu.
If you continue to visit the site, you agree to the use of cookies.
Privacy Policy / Cookie Policy

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close