我们有许多面向互联网的网络应用。不久之前由于Poodle,Chrome和Firefox放弃了SSLv3支持,当Firefox开始阻止任何启用了Diffie-Hellman密码的网站时,以及(最近)当Chrome和Firefox丢弃RC4密码时,我们意外地遇到了生产问题。在每种情况下,我们只发现最终用户开始呼叫时的问题。
为了这个问题,我们只关心与Web服务器的连接。测试站点布局和javascript超出了范围。
我用PHP和nmap / OpenSSL编写了一些探针,即。扫描SSLv3和SHA1证书。但我无法帮助,但我们想知道是否有更简洁明了的方法......尤其要在我们开始接收有关它的支持电话之前保持最佳状态。
几个问题:
由于资源限制,希望这样的邮件列表不会混淆" noise"。
例如,如果Firefox明天禁用SHA1证书支持,我们就不应该告诉它这个工具。相反,它应该使用最新版本的默认浏览器设置进行测试。
即使我们必须告诉工具有什么变化,我们也可以管理...但希望我们不需要花费数小时来添加每个测试用例。
最好,这样的工具可以在本地运行,因此我们可以测试非生产环境和内部Web应用程序。 "奖励积分"如果它可以完全自动化并在发现问题时发送电子邮件。
谢谢!
答案 0 :(得分:0)
可能违反SO规则,但我个人认为SSL Labs testing tool非常好,它有点成为测试https配置的行业标准。
插入您的网站网址,点按“开始”,几分钟后您会收到报告和成绩,并针对大量常见浏览器进行测试。如果您有任何警告或低于A级,那么您迟早会遇到麻烦。有了A级,你应该可以每季度测试一次,因为任何问题都不会那么新,如此严重以致浏览器制造商如此迅速地禁止它们。
还有其他工具,该工具仅适用于面向公众的网站(testssl.sh是一个命令行工具,它为内部网站执行类似的工作但没有评分)。但SSL Labs是免费的,易于使用,保持最新,并允许您专注于它标记的问题。及时了解所有安全问题和错误可能非常耗时 - 特别是对于小公司而言。
还有一个api for it,我猜它可以用于自动测试,但没有玩过,因为没有找到需要。
Feisty Duck安全通讯是一份月度通讯,让您了解此空间的变化:https://www.feistyduck.com/bulletproof-tls-newsletter/。它可以减少大部分噪音,非常值得订阅。 Feisty Duck是由SSLLabs的创建者设立的,时事通讯是由一名HTTPS超级极客(无意冒犯!)运行的,他知道所有传入的变化。文森特林奇在https://www.thesslstore.com/blog/
上以易于理解的方式发布了有关变化的博客其他有用的链接值得偶尔检查可能会影响您网站的问题:
还有很多其他安全邮件列表和论坛,但它们确实会花费你很多时间。就个人而言,我发现它很有趣,但意识到大多数人可能不一样! : - )