Jak spradzić obsługiwane szyfrowania SSL/TLS

Obecne przeglądarki internetowe mają ciśnienie na połączenia szyfrowane dla każdej witryny. Wlasciwie strony takie są faworyzowane przez wyniki w wyszukiwarce google. Nawet tam gdzie nie są przesyłane newralgiczne dane to zalecany jest bezpieczne połączenie SSL/TLS. No właśnie a jak bezpieczne jest to połączenie to już z tym różnie bywa. Niestety, szczególnie starsze wersje szyfrowania maja podatności które mogą być wykorzystywane przez osoby niepowołane, czyli tak zwanych hackerów. Dlatego warto sprawdzić jakie szyfrowania obsługuje nasza witryna, dzięki temu będziemy wiedzieć czy i jak jesteśmy zabezpieczeni.

Zobaczmy więc jakie mamy przykładowe sposoby sprawdzenie tego, jakie szyfrowania mamy obsługiwane w naszej witrynie.

SSL Labs

W serwisie www.ssllabs.com możemy w przyjemny sposób sprawdzić wiele szczegółów połączenia – jakie protokoły i szyfrowania są obsługiwane przez nasz webserwer.
Po skanowaniu dostajemy raport w przejrzystej formie, który daje nam wiele informacji razem z ocena poziomu bezpieczeństwa naszej witryny. Szczególnie polecam ten sposób dla stron wystawionych na świat.



nmap

Natomiast w sytuacji gdy nasz witryna jest jeszcze w naszej sieci lokalnej/firmowej, za firewallem to z pomocą nam może przyjść narzędzie nmap. Które to tez potrafi nawiązać wiele połączeń – sprawdzić jakie szyfrowania i prtotokoły są obsługiwane i ocenić jak połączenie jest słabe czy mocne. A polecenie to brzmi 

nmap --script ssl-enum-ciphers -p <numer_portu> <adres_strony>

Jeśli w raporcie mamy informacje o tym, że dany sposób szyfrowania nie jest bezpieczny i ma podatności (ocena week lub poniżej A) – to warto zastanowić się jak naprawić ten element ponieważ jest słabym ogniwem w  poziomie bezpieczeństwa naszej witryny.  

Z tych dwóch sposobów najczęściej korzystam gdy potrzebuje zweryfikować poziom bezpieczeństwa strony czy webserwera.
Istnieja jeszcze inne komercyjne narzędzia, które dostarczają bardzo szczegółowe raporty z poziomu bezpieczeństwa całej sieci firmowej. Jednak myśle ze w wiekszosci przypadkow darmowe narzędzia są  wystarczające, aby sprawdzić poziom bezpieczeństwa naszych stron. I nie dać się złym hakerom.  

Tags: