5 października 2021

Jak spradzić obsługiwane szyfrowania SSL/TLS

Obecne przeglądarki internetowe mają ciśnienie na połączenia szyfrowane dla każdej witryny. Wlasciwie strony takie są faworyzowane przez wyniki w wyszukiwarce google. Nawet tam gdzie nie są przesyłane newralgiczne dane to zalecany jest bezpieczne połączenie SSL/TLS. No właśnie a jak bezpieczne jest to połączenie to już z tym różnie bywa. Niestety, szczególnie starsze wersje szyfrowania maja podatności które mogą być wykorzystywane przez osoby niepowołane, czyli tak zwanych hackerów. Dlatego warto sprawdzić jakie szyfrowania obsługuje nasza witryna, dzięki temu będziemy wiedzieć czy i jak jesteśmy zabezpieczeni.

Zobaczmy więc jakie mamy przykładowe sposoby sprawdzenie tego, jakie szyfrowania mamy obsługiwane w naszej witrynie.

SSL Labs

W serwisie www.ssllabs.com możemy w przyjemny sposób sprawdzić wiele szczegółów połączenia – jakie protokoły i szyfrowania są obsługiwane przez nasz webserwer.
Po skanowaniu dostajemy raport w przejrzystej formie, który daje nam wiele informacji razem z ocena poziomu bezpieczeństwa naszej witryny. Szczególnie polecam ten sposób dla stron wystawionych na świat.

nmap

Natomiast w sytuacji gdy nasz witryna jest jeszcze w naszej sieci lokalnej/firmowej, za firewallem to z pomocą nam może przyjść narzędzie nmap. Które to tez potrafi nawiązać wiele połączeń – sprawdzić jakie szyfrowania i prtotokoły są obsługiwane i ocenić jak połączenie jest słabe czy mocne. A polecenie to brzmi

nmap --script ssl-enum-ciphers -p <numer_portu> <adres_strony>

Jeśli w raporcie mamy informacje o tym, że dany sposób szyfrowania nie jest bezpieczny i ma podatności (ocena week lub poniżej A) – to warto zastanowić się jak naprawić ten element ponieważ jest słabym ogniwem w poziomie bezpieczeństwa naszej witryny.

Z tych dwóch sposobów najczęściej korzystam gdy potrzebuje zweryfikować poziom bezpieczeństwa strony czy webserwera.
Istnieja jeszcze inne komercyjne narzędzia, które dostarczają bardzo szczegółowe raporty z poziomu bezpieczeństwa całej sieci firmowej. Jednak myśle ze w wiekszosci przypadkow darmowe narzędzia są wystarczające, aby sprawdzić poziom bezpieczeństwa naszych stron. I nie dać się złym hakerom.

Post Views: 88

Tags:SSL/TLS

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

dast blog

Jak spradzić obsługiwane szyfrowania SSL/TLS

About The Author

dast

Related Posts

About The Author

dast