SSLyze

Siehe auch

• Qualys SSL Labs

• testssl.sh

Wer seine Dienste mit SSL/TLS absichert, kann das Setup mit SSLyze auf häufige Ungereimtheiten prüfen. Damit ist nicht nur HTTPS gemeint, sondern insgesamt:

• ftp

• http

• imap

• ldap

• pop3

• postgres

• rdp

• smtp

• xmpp

• xmpp_server

Es liefert unter anderem die unterstützten SSL/TLS-Versionen sowie akzeptierte und präferierte Cipher-Suiten und testet die Gültigkeit der angebotenen Zertifikate. Fehler ermittet SSLyze beim Verbindungsaufbau: Schwache Ciphern werden genauso ausgewiesen wie die bekannten SSL-Vulnerabilites à la Heartbleed, ROBOT Attack etc.

SSLyze ist in Python 3 geschrieben. Jeder Check ist in Form eines Plugins implementiert, der mit dem zu prüfenden Hostnamen angegeben werden kann.

Links

• Homepage: https://github.com/nabla-c0d3/sslyze

• Doku: https://nabla-c0d3.github.io/sslyze/documentation/

• Download: https://github.com/nabla-c0d3/sslyze/releases

• Source Code: https://github.com/nabla-c0d3/sslyze

Installation und Konfiguration

pip3 install sslyze
sslyze --update_trust_stores

Verwendung

Auf Verfügbarkeit der Webseite prüfen:

sslyze linuxfabrik.ch

Umfassenden HTTPS-Scan durchführen und Zertifikatsinformationen zurückliefern:

sslyze --regular linuxfabrik.ch

Mit Details zu HTTP Security-Headern:

sslyze --regular --http_headers linuxfabrik.ch

Nur Zertifikatsinformationen liefern:

sslyze --certinfo linuxfabrik.ch

Timeout von mehr als 5 Sekunden zulassen:

sslyze --timeout 30 ...

Um mehrere Systeme auf einmal zu prüfen, kann man deren Adressen auch Zeile für Zeile in einer Datei definieren und diese wie folgt angeben:

sslyze --targets_in $FILE ...

SMTP mit TLS auf Port 587 prüfen:

sslyze --starttls=smtp asmtp.mail.linuxfabrik.ch:587 ...

SNI verwenden:

sslyze --sni ...

Ergebnisse im XML- oder JSON-Format ablegen:

sslyze --quiet --json_out=$JSON_FILE --xml_out=$XML_FILE ...

Built on 2024-04-18