News

Tool Tuesday – TLS/SSL Scanning Tools

Aug 6, 2019

Es gibt unzählige Tools und Varianten, um TLS/SSL-Verbindungen zu testen. Mit diesen drei einfachen Werkzeugen können Sie ganz einfach Ihre eigenen Konfiguration überprüfen. 

Kurz vornweg: TLS (Transport Layer Security) bzw. die Vorgängerversion SSL (Secure Socket Layer) sind Protokolle, die für die verschlüsselte Datenübertragung genutzt werden. Beim Verbindungsaufbau werden zwischen Client und Server verschiedene Parameter ausgehandelt. Welche Parameter zur Aushandlung bereitstehen, wird in der Konfiguration des Servers festgelegt.
Um diese Konfiguration zu prüfen – ob für einen Penetrationstest oder für den firmeninternen Compliance Check – stehen verschiedene Tools zur Verfügung, um die Arbeit zu erleichtern.
Wir haben uns die drei Tools: O-Saft, sslscan und testssl näher angeschaut und diese miteinander verglichen.

O-Saft

O-Saft besticht zunächst mit seinem originellen Namen. Es ist ein Perl basierter Scanner mit jeder Menge Einstellmöglichkeiten. Die Besonderheit ist, dass O-Saft nicht nur die angebotenen Ciphers des Servers bewertet und ausgibt. Der Scanner kann einen TCP-Socket öffnen und SSL/TLS-Handshakes senden. Der große Vorteil an dieser Methode ist, dass ohne zusätzliche oder veraltete Bibliotheken das Vorhandensein von SSLv2 getestet werden kann.
Die Ausgabe erfolgt in Textform auf der Konsole. Diese kann wahlweise auch in eine Datei umgeleitet werden.

Mehr Informationen unter: https://github.com/OWASP/O-Saft

sslscan

sslcan muss installiert oder kompiliert werden, da es ein C-basiertes Programm ist. Das Kompilieren hat den Vorteil, dass man alte openssl Bibliotheken verwenden kann, um Beispielsweise SSLv2 oder SSLv3 zu testen.
Die Ausgabe erscheint sehr übersichtlich und in verschiedenen Farben unterteilt auf der Konsole (gut geeignet für Screenshots). Wahlweise kann die Ausgabe in Form einer XML-Datei erfolgen.

Mehr Informationen unter: https://github.com/rbsec/sslscan

testssl

testssl ist ein Bash-Skript. Daher ist kein Installieren oder Kompilieren nötig. Der Scanner bedient sich der aktuellen openssl Version auf dem System. Somit können nur Protokolle und Ciphers getestet werden, die von dem aktuellen openssl unterstützt werden.
Die Ausgabe ist sehr Umfangreich. Sie gibt nicht nur Aufschluss über die Verwendeten Cipher und Zertifikate sondern auch über mögliche Schwachstellen und Angriffe. Darüber hinaus kann die Ausgabe in verschiedene Formate, wie z.B. eine JSON-Datei oder CSV-Datei, geschrieben werden, um sie weiter zu verarbeiten.

Mehr Informationen unter: https://github.com/drwetter/testssl.sh

Haben Sie Fragen zum Thema Sicherheit von TLS/SSL? Kontaktieren Sie uns gerne! 

Tool Tuesday - TLS/SSL Scanning Tools

Recent posts

Attack Afternoon – CSRF

CSRF steht für „Cross-Site Request Forgery“ und ist ein Klassiker unter den Angriffen auf Webanwendungen. Mit diesem Angriff ist es möglich, Nutzer bestimmte Aktionen ausführen zu lassen, ohne dass sie diese beabsichtigen. Aber wie funktioniert dieser Angriff genau?

mehr lesen