SSLyze

Wer seine Dienste mit SSL/TLS absichert, kann das Setup mit SSLyze auf häufige Ungereimtheiten prüfen. Damit ist nicht nur HTTPS gemeint, sondern insgesamt:

  • ftp

  • http

  • imap

  • ldap

  • pop3

  • postgres

  • rdp

  • smtp

  • xmpp

  • xmpp_server

Es liefert unter anderem die unterstützten SSL/TLS-Versionen sowie akzeptierte und präferierte Cipher-Suiten und testet die Gültigkeit der angebotenen Zertifikate. Fehler ermittet SSLyze beim Verbindungsaufbau: Schwache Ciphern werden genauso ausgewiesen wie die bekannten SSL-Vulnerabilites à la Heartbleed, ROBOT Attack etc.

SSLyze ist in Python 3 geschrieben. Jeder Check ist in Form eines Plugins implementiert, der mit dem zu prüfenden Hostnamen angegeben werden kann.

Links

Installation und Konfiguration

pip3 install sslyze
sslyze --update_trust_stores

Verwendung

Auf Verfügbarkeit der Webseite prüfen:

sslyze linuxfabrik.ch

Umfassenden HTTPS-Scan durchführen und Zertifikatsinformationen zurückliefern:

sslyze --regular linuxfabrik.ch

Mit Details zu HTTP Security-Headern:

sslyze --regular --http_headers linuxfabrik.ch

Nur Zertifikatsinformationen liefern:

sslyze --certinfo linuxfabrik.ch

Timeout von mehr als 5 Sekunden zulassen:

sslyze --timeout 30 ...

Um mehrere Systeme auf einmal zu prüfen, kann man deren Adressen auch Zeile für Zeile in einer Datei definieren und diese wie folgt angeben:

sslyze --targets_in $FILE ...

SMTP mit TLS auf Port 587 prüfen:

sslyze --starttls=smtp asmtp.mail.linuxfabrik.ch:587 ...

SNI verwenden:

sslyze --sni ...

Ergebnisse im XML- oder JSON-Format ablegen:

sslyze --quiet --json_out=$JSON_FILE --xml_out=$XML_FILE ...

Built on 2022-06-03