Analyse de la validité de l’implémentation des protocoles SSL/TLS

La validation de l’implémentation des protocoles SSL/TLS est effectuée pour détecter l’utilisation de méthodes de chiffrement ou de fonctions de raccourci faibles connues.  Un exemple ici pourrait être le protocole SSL v2, qui ne devrait plus être utilisé en raison de vulnérabilités connues. Parmi les autres erreurs à vérifier figurent l’utilisation d’un algorithme de chiffrement symétrique avec des clés inférieures à 128 bits, de certificats X.509 utilisant une clé publique inférieure à 1024 bits et de la fonction de raccourci MD5, connue pour ses attaques de collision réussies. Il est également important de vérifier l’actualité temporelle du certificat utilisé et la validité de sa signature par une autorité de certification de confiance. Pour valider l’implémentation du protocole SSL/TLS, vous pouvez utiliser un outil appelé testssl.sh. Il s’agit d’un programme gratuit créé par Dirk Wetter. Il est pris en charge à partir de la ligne de commande. Il vérifie le service du serveur sur n’importe quel port pour la prise en charge du chiffrement TLS / SSL, des protocoles et des vulnérabilités cryptographiques. La figure ci-dessous présente le résultat de l’analyse de l’une des applications étudiées. Résultat de l’analyse de l’implémentation SSL/TLS avec l’outil testssl.sh

Fig. Résultat de l’analyse de l’implémentation SSL/TLS avec testssl.sh. Source: [Auto-élaboration]

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Pour marque-pages : Permaliens.

Partagez votre avis sur l'article.