Analiza poprawności implementacji protokołów SSL/TLS

Sprawdzanie poprawności implementacji protokołów SSL/TLS przeprowadza się w celu wykrycia użycia znanych słaby metod szyfrowania lub funkcji skrótu.  Przykładem może być tutaj protokół SSL v2, który nie powinien być już używany ze względu na znane podatności. Innymi błędami których występowanie należy zweryfikować jest użycie  symetrycznego algorytmu szyfrowania z kluczami mniejszymi niż 128 bitów, certyfikatów X.509 używających klucza publicznego mniejszego niż 1024 bitów oraz funkcji skrótu MD5, która znana jest z udanych ataków kolizyjnych. Ważnym czynnikiem jest także sprawdzenie samej aktualności czasowej wykorzystywanego certyfikatu oraz poprawności jego podpisania przez zaufany urząd certyfikacji.


W celu weryfikacji poprawności implementacji protokołu SSL/TLS można posłużyć się narzędziem zwanym testssl.sh. Jest to darmowy program, stworzony przez  Dirk Wettera. Obsługiwany jest z poziomu wiersza poleceń. Sprawdza on usługę danego serwera na dowolnym porcie pod kątem obsługi szyfrowania TLS / SSL, protokołów oraz występowania luk kryptograficznych. Na rysunku poniżej zaprezentowany został wynik skanowania jednej z badanych aplikacji.

Rys. Wynik skanowania implementacji SSL/TLS narzędziem testssl.sh. Źródło: [Opracowanie własne]

Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu