Проверить ssl домена: Проверка SSL | LeaderSSL

10 онлайн-инструментов для проверки SSL, TLS и последних уязвимостейОт переводчика.

Привет! В последнее время было обнаружено довольно много уязвимостей, связанных с SSL, поэтому мне захотелось сделать перевод статьи, в которой собран список инструментов для тестирования SSL, TLS и различных уязвимостей. В статье довольно много терминов, поэтому хочу извиниться, если что-то перевела не совсем корректно. Если вы можете предложить лучший вариант перевода, пожалуйста, напишите в личные сообщения.

Содержание

Проверяйте SSL, TLS и шифрование


Проверка SSL необходима для обеспечения правильного отображения параметров сертификата. Существует множество способов проверки SSL-сертификатов. Проверка с помощью инструментов в сети позволяет получить полезную информацию, находящуюся ниже. Она также поможет вам выявить угрозы на ранних стадиях, а не после получения жалобы клиента.

Я получил ряд вопросов после своей последней публикации «Усиление защиты Apache. Гид по безопасности» о проверке TLS и SSL. В этой статье я расскажу вам о некоторых полезных инструментах для проверки SSL-сертификатов в сети.

Symantec SSL Toolbox


Проверка CSR — очень важно проверить CSR перед отправкой для подписи запроса. Вы сможете удостовериться в том, что CSR содержит все требуемые параметры, например, CN, DN, O, OU, алгоритм и др.

Проверка установки сертификата — после установки всегда полезно удостовериться в том, что сертификат действителен и содержит необходимую информацию. Этот онлайн инструмент позволит вам проверить CN, SAN, название организации, OU, город, серийный номер, тип применяемого алгоритма, длину ключа и подробности о цепочке сертификата.

Wormly Web Server Tester


Тестирование web сервера от Wormly позволяет получить подробный обзор параметров ссылки. Обзор включает в себя данные о сертификате (CN, срок действия, цепочка сертификата), шифровании, длине открытого ключа, безопасности повторного согласования, протоколах типа SSLv3/v2, TLSv1/1.2.

DigiCert SSL Certificate Checker


Инструмент для проверки установки SSL сертификатов от DigiCert — еще один прекрасный инструмент, который позволит вам преобразовать DNS в IP адрес, узнать кто выдал сертификат, его серийный номер, длину ключа, алгоритм подписи, SSL-шифрование, поддерживаемое сервером и срок действия сертификата.

SSL Shopper


Проверка SSL от SSL Shopper — подойдет для быстрой проверки типа сервера, срока действия, SAN и цепочки доверия. Вы сможете оперативно найти ошибку в цепочке сертификата или узнать, что он не работает должным образом. Инструмент отлично подходит для устранения неполадок в работе.

GlobalSign SSL Check


Проверка конфигурации SSL от GlobalSign предоставляет очень подробную информацию о веб-сервере и SSL. Инструмент ставит баллы в зависимости от данных сертификата, поддержки протоколов, обмена ключами и надёжности шифра. Это незаменимый инструмент при настройке нового безопасного URL или проведении аудита. Обязательно попробуйте!

Qualys SSL Labs


Позволяет оценить ваш сайт в отношении безопасности SSL-сертификата. Предоставляет очень подробную техническую информацию. Советую системным администраторам, аудиторам, инженерам по интернет-безопасности для выявления и наладки “слабых” параметров.

Free SSL Server Test


Производит проверку вашей https ссылки и отображает следующую информацию, которую при желании можно скачать в PDF-формате:
  • Совместимость PCI DSS
  • Соответствие принципам NIST
  • Размер DH
  • Поддержка протоколов
  • Поддержка шифров
  • Откат TLS соединения
  • Поддержка повторного согласования
  • Основные наборы шифров
  • Контент третьих лиц

COMODO SSL Analyzer


SSL анализатор от COMODO позволяет провести анализ https URL и быстро получить отчеты по различным параметрам, включая
  • Серийный номер
  • Отпечаток
  • Действительность SSL-сертификата
  • Эмитент
  • Поддержка протокола (SSL/TLS)
  • Защита от атак Downgrade
  • Безопасность повторного согласования (по инициативе сервиса или клиента)
  • Сжатие
  • Session tickets
  • Активные наборы шифрования

SSL Checker


Что действительно хорошо в SSL Checker, так это то, что инструмент позволяет настроить напоминание (за 30 дней) об истечении срока действия сертификата. Это отлично, мне кажется, что бесплатно эту услугу больше нигде получить нельзя. Кроме того, инструмент позволяет выполнить базовую проверку таких параметров, как:
  • Цепочка сертификата
  • Корневой сертификат
  • Алгоритм подписи
  • Отпечаток
  • Элементы цепочки
  • SAN

HowsMySSL


Этот инструмент отличается от остальных. Он позволяет проверить клиента (браузер) и получить оценку состояния по следующим параметрам:
  • Поддерживаемая версия протокола
  • Сжатие
  • Поддержка session ticket
  • Поддерживаемое шифрование

Для проверки клиента, просто зайдите на HowsMySSL в браузере.

Другие инструменты онлайн-проверки


Проверка уязвимости POODLE:
Проверка уязвимости FREAK:
Проверка уязвимости LogJam:
Проверка уязвимости SHA-1:
Я считаю, что перечислил все бесплатные онлайн-инструменты для проверки параметров SSL-сертификата и получения достоверной технической информации для проведения аудита и обеспечения безопасности веб-приложений. Если вам понравилось, поделитесь с друзьями.

P. S. Приглашаем в наше Хостинг Кафе. Работают и активно развиваются 6 сайтов для поиска хостинговых услуг:

  • VDS.menu — Поиск виртуальных серверов
  • SHARED.menu — поиск виртуального хостинга
  • DEDICATED.menu — поиск выделенных серверов
  • HTTPS.menu — поиск SSL сертификатов
  • LICENSE.menu — поиск лицензий
  • BACKUP.menu — поиск места для резервных копий

Спасибо andorro за помощь с подготовкой публикации.

Проверка SSL-сертификата сайта online | Monitor-Site.com

Проверяется вся информация об установленном сертификате на сервере, в том числе срок окончания его действия.

Другие проверки Выберите чтобы перейти к проверке————————————————————Комплексная проверка сайта————————————————————Проверка доступности сайта PINGПроверка загрузки страницы HTTP/HTTPSПроверка ответа от DNSПроверка доменаПроверка сертификатаПроверка сайта на вирусыПроверка доступности FTPПроверка произвольного порта

Для того, чтобы статистика о Вашем ресурсе собиралась постоянно — запустите постоянный мониторинг

ЗАПУСТИТЬ ПОСТОЯННЫЙ МОНИТОРИНГ БЕСПЛАТНО!

Для новых пользователей бесплатный мониторинг одного сайта — 15 дней!


Описание протокола SSL

SSL (Secure Sockets Layer) — криптографический протокол, обеспечивающий безопасный обмен данными. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

Протокол SSL обеспечивает защищённый обмен данных за счёт двух следующих элементов: Аутентификация и Шифрование.

SSL использует асимметричную криптографию для аутентификации ключей обмена, симметричный шифр для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений.

Использование SSL на сайтах

Частое использование протокола SSL привело к созданию протокола HTTPS (Hypertext Transfer Protocol Secure), поддерживающего шифрование. Данные, которые передаются по протоколу HTTPS, «упаковываются» в криптографический протокол SSL, тем самым обеспечивая защиту этих данных. Такой способ защиты широко используется в мире Веб для приложений, в которых важна безопасность соединения, например, в платежных системах. В отличие от HTTP, для HTTPS по умолчанию используется TCP-порт 443.

Многие браузеры сейчас подсвечивают сайты, не использующие HTTPS как небезопасные.

Необходимость проверки SSL-сертификата

Доверие клиентов

Из-за того, что браузер подсвечивает сайты без HTTPS как небезопасные — у клиентов меньше доверия к таким сайтам.

Сохранение позиций сайта в поисковой выдаче

Сейчас многие поисковые системы снижают позиции сайта, если он не работает по протоколу HTTPS.

Другие проверки сайта

RackStore | Проверка домена и компании для выпуска SSL сертификата

Мы часто получаем вопросы по процедуре валидации для различных SSL сертификатов, поэтому было составлено данное руководство. Процесс проверки и запрашиваемые данные отличаются в зависимости от типа валидации выпускаемого сертификата, которые бывают следующими:

Самый простой и быстрый из них — прохождение проверки по домену, самый долгий и трудозатратный по предоставлению документов — Extended Validation. Рассмотрим каждый в отдельности.

Domain Validation — Проверка по домену

Данные SSL подтверждают принадлежность домена сайта физическому лицу, они выпускаются от нескольких минут и не требуют сбора документов. Единственное, что потребуется — это доступ к доменному имени и возможность им управлять. Существует несколько способов подтвердить владение доменом: по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт.

Подтверждение при помощи E-Mail (традиционный способ)

Самый популярный метод проверки прав собственности, используется по умолчанию. Для этого потребуется административная почта и доступ к ней. Если не сможете получить письмо и выполнить инструкции из него, то сертификат не будет выпущен.

Допускаются email:

Центр сертификации отправит письмо на указанную почту владельца домена. Для прохождения проверки необходимо перейти по ссылке и ввести уникальный код из письма. После завершения данного процесса, на почту придет файл с подписанным сертификатом.

Подтверждение через HTTP / HTTPS хэш-файл

Альтернативный способ пройти проверку. Для этого нужно скачать полученный на почту хеш-файл в формате .txt и установить его в корень проверяемого сайта с вложенностью папок http(s)://example.com/.well-known/pki-validation/hash-file. Данный файл должен иметь открытый доступ по URL. Обратите внимание, что для домена с HTTP и HTTPS хеш будет разным, поэтому обязательно укажите по какому именно протоколу доступен сайт.

Подтверждение по записи CNAME DNS

Вы можете добавить CNAME-запись в DNS настройках домена. Это более длительный процесс, который зависит от время жизни записи (TTL) на DNS-сервере, максимально он может занять до 24 часов. Для прохождения проверки будут созданы хеши MD5 и SHA, которые нужно ввести в DNS CNAME запись следующим образом:

  • Домен: MD5-hash.example.com
  • CNAME: SHA-hash.comodoca.com

Для мультидоменного сертификата необходимо добавить CNAME запись для всех доменов указанных при создании запроса.

! Дополнительная ручная проверка

В некоторых случаях центры сертификации могут производить дополнительную проверку. Это замедляет процесс выдачи сертификата на 24-48 часов. Причиной для ручной проверки может стать:

  • Наличие известного бренда в названии домена. Это может быть как целенаправленное использование чужого названия, так и случайное совпадение букв в доменном имени.
  • Наличие стоп-слов, например: bank, money, trading, transfer, payment, protection, securе, violence, shop и другие.
  • Страна поступления заявки: Южная Корея, Северная Корея, Судан, Афганистан, Иран или Ирак.

Если сайт не вызывает доверия у проверяющего центра или является мошенническим, то в выдаче сертификата может быть отказано.

После подтверждения прав собственности на доменное имя, на указанную в заявлении почту будет выдан SSL-сертификат, который уже можно установить на сайт или web-сервер.

Organization Validation — Проверка организации

Такой сертификат гарантирует, что домен принадлежит конкретней организации. Это вызывает больше доверия со стороны пользователей сайта, но более сложный процесс, который включает в себя три этапа:

  1. Проверка владения доменом
  2. Проверка данных компании
  3. Телефонный звонок

Весь процесс занимает несколько рабочих дней при условии, что все документы верны и предоставлены вовремя.

Шаг 1. Проверка владения доменом

Для прохождения проверки доменное имя должно принадлежать компании, о чем может свидетельствовать общедоступная запись в сервисе WHOIS. Данные в WHOIS должны совпадать с теми, что указаны в CSR-запросе. Дополнительно может быть запрошено свидетельство о регистрации доменного имени.

Существует несколько способов подтвердить владение доменом: по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт. Самый распространенный и доступный для всех центров сертификации метод — это проверка по email. На указанный административный адрес придет письмо с простым руководством по подтверждению почты.

Шаг 2. Проверка данных организации

Чтобы пройти проверку организации, потребуется предоставить документы о компании. На указанный e-mail будет отправлено письмо с запросом копий документов организации. Вы можете предоставить один из вариантов наборов документов и данных. Сертификационный центр может запросить дополнительные данные.

Для ИП часто требуют похода к нотариусу для заверения документов. При этом, правомочия нотариуса будут проверены в открытых источниках, а аутентичность заверенного документа — может быть уточнена телефонным звонком.

! Мы рекомендуем добавить информацию о своей организации в популярные источники и справочники Рунета, как yell.ru или yp.ru еще до заказа SSL-сертификата. Центры будут проверять открытые источники для сравнения актуальности данных.

В большинстве случаев будет достаточно выписки из ЕГРЮЛ и свидетельства о постановке на учет в налоговом органе. Проверка юридического существования компании будет проводиться через государственную базу данных. Центр сертификации может использовать для этих целей сайт egrul.nalog.ru. Перед началом процесса получения сертификата, поверьте находится ли компания в реестре федеральной налоговой службы.

Компания может быть проверена через открытые сторонние базы данных, такие как:

  • Duns & Bradstreet или D & B Hoover — международная коммерческая база данных.
  • https://egrul.nalog.ru — Предоставление сведений из ЕГРЮЛ/ЕГРИП.
  • https://fedresurs.ru — Федеральный реестр сведений о деятельности юрлиц.
  • https://2gis.ru — Электронные справочники и карты.
  • https://ru.kompass.com — Справочник предприятий.
  • https://www.infobel.com/en/russia — Перечень компаний России.
  • https://ispark.ru — Информация по российским компаниям.
  • http://www.spark-interfax.ru — Информационно-аналитических система о компаниях.
  • www.cbr.ru/credit — Информация по кредитным организациям ЦБ РФ.
  • https://sbis.ru — Сеть деловых коммуникаций.
  • www.k-agent.ru/en — База данных «Контрагент».
  • www.infobel.com/en/russia — Информация о компаниях в России.
  • russia-opt.com — Сайт о государственных контрактах.
  • egrinf.com — Поиск реквизитов организаций России.
  • clearspending.ru — Информация о контрактах.
  • data.notariat.ru/directory/notary — Федеральная нотариальная палата.
  • www.list-org.com — Каталог организаций России.
  • synapsenet.ru/searchorganization/proverka-kontragentov — Проверка контрагентов.
  • www.rusprofile.ru — Проверка организаций.

D-U-N-S — это международный номер организации на сайте dandb.com. DUNS-номер можно получить бесплатно если фирма зарегистрирована на территории США или компания является разработчиком приложений для Apple. Возможна и платная регистрация в каталоге, что обойдется более 200$.

Предоставление документов, подтверждающих адрес и телефон компании:

  • Устав компании (с адресом).
  • Лицензия на ведение бизнеса (с адресом).
  • Копия недавней выписки из банковского счета компании.
  • Копия недавнего телефонного счета компании.
  • Копия недавнего основного счета за коммунальные услуги компании (то есть счета за электроэнергию, счета за воду и т. д.) Или действующего договора аренды офиса компании.

Шаг 3. Телефонный звонок

Для проверки может быть использован автоматический звонок, при котором представитель центра (скорее всего робот) продиктует код подтверждения. Важно, чтобы сотрудник, чьи данные были указаны в административных контактах CSR-заявки на выпуск сертификата, был проинформирован о возможном звонке, знал название защищаемого доменного имени и заказанного SSL-сертификата.

После прохождения всех проверок, сертификат будет выслан на указанный в заявке e-mail. Вы можете переходить к его установке.

Extended Validation — Расширенная проверка

Сертификаты SSL с расширенной проверкой считаются наиболее надежными и вызывают максимальное доверие со стороны пользователей сайтов и платежных систем. Процесс выпуска может занимать от 7 до 14 дней при условии своевременного и достоверного предоставления требуемых данных. Для этого нужно пройти 4 этапа:

  1. Отправка документов
  2. Проверка данных компании
  3. Проверка владения доменом
  4. Телефонный звонок

Для выпуска EV сертификата необходимо пройти все этапы поверки. Рассмотрим каждый из них.

Шаг 1. Отправка документов

Вам нужно будет заполнить специальные формы для начала оформления сертификата с расширенной проверкой. Процесс прохождения EV валидации в разных центрах будет немного отличаться:

Шаг 2. Проверка данных компании

Этот этап не отличается от описанного выше процесса предоставления документов организации при OV валидации. Это копии учредительных документов, выписка из ЕГРЮЛ, свидетельство о постановке на учет в налоговом органе. Могут понадобится копии счетов и прочие документы, подтверждающие адрес и телефон организации. Не забудьте проверить наличие информации об организации в справочниках и ее актуальность.

Сертификационный центр может дополнительно запросить DUNS-номер или прохождение face-to-face проверки у нотариуса. Особенно если компания молодая или заявка подается от индивидуального предпринимателя.

Шаг 3. Проверка владения доменом

Домен должен быть оформлен на организацию. Данные в WHOIS должны совпадать с теми, что указаны в CSR-запросе. Вы можете подтвердить домен по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт. По умолчанию предлагается использовать электронную почту администратора, к которой у Вас должен быть доступ. Более детальную информацию можно получить в описании для Domain Validation.

Шаг 4. Телефонный звонок

В качестве административного контакта необходимо указать лицо, занимающее старшую должность в организации, и имеющее право отправлять запрос на получения сертификата от имени организации. Его контактные данные будут использованы для проверки по телефону. В зависимости от центра, звонящий сотрудник может задать уточняющие вопросы касательно выпускаемого сертификата или сообщить код подтверждения.

После успешного прохождения всех проверок, подписанный сертификат с расширенной проверкой высылается на указанный технический e-mail и доступен для установки.

Проверка SSL-сертификатов на предмет отзыва / Хабр

В наше время одним из самых важных аспектов безопасной передачи информации является шифрование. Данные при передаче от клиента к серверу зашифровываются с помощью SSL-сертификата. Сертификат – это публичный ключ, заверенный удостоверяющим центром.

Все SSL-сертификаты, как правило, выдаются на ограниченный срок, по окончании которого они теряют силу и должны быть переизданы. Однако бывают случаи, когда сертификат может быть отозван ещё до окончания срока действия. Причин на отзыв SSL-сертификата довольно много, самые распространённые из них – закрытый ключ был утерян или скомпрометирован, изменились регистрационные данные компании и т.п.

Существует 2 альтернативных способа проверить, находится ли SSL-сертификат в списках отзыва:

  • CRL (Certificate Revocation List) – проверяется наличие серийного номера сертификата в списке отзыва.
  • OCSP (Online Certificate Status Protocol) – сертификат отправляется на специализированный сервер, где проверяется его статус.

Рассмотрим оба эти способа более подробно с помощью консоли Ubuntu. А в качестве примера проверим на отзыв сертификат для домена habr.com.

CRL


Скачаем сертификат интересующего нас домена:
echo -n | openssl s_client -connect habr.com:443 -servername habr.com 2>&1 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/habr.com.crt

Спасибо legioner за подсказку добавить параметр -servername — он необходим для правильного выбора сертификата, если на один IP-адрес их установлено несколько (SNI).

Смотрим детали сертификата:

openssl x509 -noout -text -in /tmp/habr.com.crt

Здесь нас интересует в разделе «X509v3 CRL Distribution Points» пункт «Full Name».

Скачиваем по этой ссылке список CLR:

wget http://crl.comodoca.com/COMODORSADomainValidationSecureServerCA.crl

Выдираем серийный номер сертификата:
openssl x509 -in /tmp/habr.com.crt -noout -serial

Смотрим, есть ли этот номер в списке CRL:
openssl crl -inform DER -text -in COMODORSADomainValidationSecureServerCA.crl | grep "90E58B0601C3AD98F07AEE092041C437"

Если ничего не нашлось, значит сертификат не является отозванным.

OCSP


Выведем на экран сертификат интересующего нас домена и цепочки промежуточных (Intermediate) сертификатов:
echo -n | openssl s_client -connect habr.com:443 -showcerts

Сохраним в файлы сертификат домена и промежуточный сертификат (код между строками ——BEGIN CERTIFICATE—— и ——END CERTIFICATE——):
/tmp/habr.com.crt
/tmp/intermediate.crt

Определим OCSP-сервер:
openssl x509 -in /tmp/habr.com.crt -noout -ocsp_uri

Отправим запрос OCSP-серверу проверить сертификат на предмет отзыва:
openssl ocsp -url http://ocsp.comodoca.com -issuer /tmp/intermediate.crt -cert /tmp/habr.com.crt -text

Если всё указали правильно, то OCSP-сервер должен вернуть информацию по сертификату.

Здесь интерес представляют последние строчки:

Response verify OK
/tmp/habr.com.crt: good

Об отсутствии сертификата в списке отозванных говорит значение «good», если же сертификат отозвали, то значение будет «revoked».

Автоматизация


Проверять SSL-сертификаты на предмет отзыва вручную не всегда удобно, поэтому процесс проверки можно автоматизировать.

Для этого берём с Github готовый скрипт ssl-check-revoc.sh, который осуществляет проверку сертификатов методом CRL:

wget https://raw.githubusercontent.com/o-pod/security/master/ssl-check-revoc.sh

Далее делаем скрипт исполняемым:
chmod a+x ssl-check-revoc.sh

Теперь можно проверять как уже установленные сертификаты для домена, так и сохранённые локально в файлы (опция -f):
./ssl-check-revoc.sh habr.com -v

Zabbix


Скрипт ssl-check-revoc.sh может проверять сертификаты не только из консоли, он также вполне подходит в качестве чекера для Zabbix, поэтому всю грязную работу по отслеживанию попадания сертификатов в список отзыва можно поручить системе мониторинга.

Заходим в конфиг Zabbix /etc/zabbix/zabbix_server.conf и смотрим, где лежат скрипты для внешних проверок:

ExternalScripts=/etc/zabbix/externalscripts

Копируем в этот каталог наш скрипт и рестартуем Zabbix:
sudo cp ssl-check-revoc.sh /etc/zabbix/externalscripts/
sudo systemctl restart zabbix-server

Заходим в веб-интерфейс и создаём шаблон (Configuration >> Templates >> Create template). В качестве имени шаблона указываем «Template SSL Checking». Затем внутри шаблона создаём элемент данных (Item) «SSL Certificate in Revocation List», в качестве ключа указываем «ssl-check-revoc.sh[{HOST.NAME}]», с типом проверки «External check». Интервал проверок можно установить на своё усмотрение в зависимости от критичности проекта.

Также понадобятся два триггера:

1. Для сигнализации отзыва сертификата «Certificate for domain {HOST.NAME} is in revocation list»
Expression: «{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=1»

2. Для сигнализации об ошибке на случай, если что-то пойдёт не так (например возникнут проблемы с CLR-сервером и т.п.) «Error to check certificate for domain {HOST.NAME}»
Expression: «{Template Custom SSL Checking:ssl-check-revoc.sh[{HOST.NAME}].last()}=2»

Не забываем в экшенах (Configuration >> Actions) настроить способ оповещения в случае срабатывания триггеров.

Теперь осталось создать хосты, сертификаты которых будем регулярно проверять (Configuration >> Hosts >> Create host). На вкладке Templates прилинковываем наш темплейт «Template SSL Checking».

И всё! Можно спать спокойно: если SSL-сертификат вашего домена по какой-либо причине попадёт в список отозванных, Zabbix сразу же вам сообщит.

On-Line Проверка SSL сертификата на сервере SSLcheck



* Упрощенная версия проверки HTTPS с мобильника >>>

WebTrust Ukraine real Time SSL Checker Service

Сервис обрабатывает ваш запрос.
Пожалуйста дождитесь результата.

Как определить или правильно установлен SSL сертификат и что сертификат работает правильно? Проверка при помощи браузера некорректна… Проблема в том, что Internet Explorer и Firefox проверяют сертификаты по разному. Firefox проверяет наличие промежуточных сертификатов а IE — нет. IE «проглатывает» путь к корневому сертификату, а Firefox проверяет всю цепочку. Каждый из браузеров Opera, Safari, Chrome и другие, в том числе и мобильные браузеры, используют свою собственную логику проверки SSL сертификата на сервере.

adgrafics предлагает комплекс ON-LINE инструментов для проверки статуса, корректности установки и анализа поведения вашего сертификата SSL В случае возникновения проблем с SSL сертификатом сервис подскажет вам как ее устранить, так же напомнит вам о необходимости продления сертификата


adgrafics SSL On Line Service

On Line Инструменты для работы с сертификатами
Проверка HTTPS
Проверка: правильность установки SSL сертификата
Содержание SSL сертификата
Проверка hash алгоритма: SHA-1 или SHA-2 ?
Проверка на наличие уязвимости Poodle: SSLv3, SSLv2, TLS ?
Ежедневный контроль SSL сертификата на сервере
Проверка цепочки сертификатов
Содержание сертификата SSL pem
Содержание TBS сертификата
Содержание ASN сертификата
Содержание SSL сертификата select
Содержание сертификата SSL pkcs12


Проверка сертификата в CRL
On Line Revocation checker
Просмотр CRL центров сертификации

Проверка CSR запроса
Просмотр полей CSR
Соответствие запроса CSR и серта

Сопутствующие вопросы
Где установлен ваш сертификат SSL
Какому ЦС разрешен выпуск сертификатов для вашего домена
Проверка записей DNS TXT
Проверка записей CNAME
Ваш набор алгоритмов шифрования Cipher Suite
Проверка на уязвимость Logiam


Демо сервисы
Детали Private Key
Генерация Private Key
Генерация pKey и CSR
Генерация pKey, CSR и Серта
Соответствие pKey и запроса CSR
Соответствие pKey и Сертификата


SSL-сертификат, что это такое и для чего нужен на сайте? Что дает https и ssl для сайта?

HTTPS — что за зверь

Если вы уже сталкивались с созданием собственного сайта, то наверняка краем уха слышали бессвязный набор фраз «сертификат ssl https что это». В статье мы расскажем, что, как и почему. И эти слова перестанут быть для вас пустым звуком.

Невероятно, но факт: любое действие в Интернете — это обмен данными. Когда вы открываете любимый сайт, ищете видеоролик на «YouTube» или загружаете картинку в Instagram, ваш поисковый браузер и сервер обмениваются информацией. Каждый вбитый в поисковую строку запрос проходит путь от вас (пользователя) к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP. Он был изобретён ещё в начале 90-х. Всем HTTP хорош, кроме одного: не шифрует данные. Следовательно, их без труда может перехватить третья сторона, личная информация (пароль, номер банковской карты, реквизиты, паспортные данные) может быть украдена злоумышленниками.

В современном мире защита данных имеет принципиальное значение. Поэтому внедрили HTTPS, который расшифровывается как протокол безопасного соединения. Принципом работы защищённого протокола HTTPS является обмен ключами шифрования. Прежде чем ответить на запрос от браузера, сервер предъявляет ключ — SSL-сертификат. Браузер проверяет подлинность ключа в Центре сертификации. Если ключ «подошёл», браузер и сервер доверяют друг другу и договариваются о разовом шифре. Так происходит каждую сессию, то есть каждый раз при обмене запросами и ответами. Вот таким хитрым способом и обеспечивается сохранность данных и конфиденциальность при обмене информацией.

Зачем нужен SSL-сертификат

Чтобы сайт стал работать по протоколу безопасного соединения HТТPS, нужен SSL-сертификат. Это виртуальный документ, который содержит данные об организации, её владельце и подтверждает их существование. SSL позволяет узнать сервер и подтвердить безопасность сайта.

Использование SSL-сертификата гарантирует:

  • Подлинность ресурса, к которому обращается пользователь. Это повышает у посетителей уровень доверия.
  • Целостность передаваемой информации. При транспортировке от сервера к браузеру данные не изменятся и не потеряются.
  • Конфиденциальность. 256-разрядное шифрование исключает доступ злоумышленников к информации.

Что дает SSL-сертификат для сайта кроме защиты данных? Он также помогает в SEO-продвижении проекта — позволяет занять более высокую позицию в поисковой выдаче. Поисковые системы (Google, Яндекс и пр.) дорожат доверием аудитории и выше ранжируют сайты, которые работают через безопасное соединение.

Разновидности SSL-сертификатов

По уровню проверки выделяют три типа SSL-сертификатов:

SSL-сертификаты начального уровня с проверкой домена Domain Validation (DV)

При выпуске сертификата этого типа проверяется только право собственности на домен. Физическим лицам доступен только этот тип сертификата. Юридические лица также могут его выпустить. После подключения такого сертификата к сайту в адресной строке браузера появится характерный «замочек», что означает безопасную передачу данных по HTTPS-протоколу.

SSL-сертификаты бизнес-класса с проверкой организации Organization Validation (OV) или Company Validation (CV)

При выпуске такого сертификата кроме проверки права собственности на домен проводится проверка организации: её юридическое и физическое существование. Этот вид SSL-сертификата доступен только юридическим лицам. При нажатии на замочек в адресной строке будет отображаться информация о компании.

SSL-сертификаты с расширенной проверкой Extended Validation (EV)

Этот вид SSL-сертификата также доступен только юридическим лицам. Чтобы его выпустить, нужно предоставить документы в центр сертификации. Проводится проверка не только существования организации, но и её правовой деятельности. Помимо замочка в адресной строке будет отображаться печать доверия сертификационного центра и информация о компании.

Подробнее о видах сертификатов в статье Типы SSL-сертификатов.

HTTP или HTTPS? Вот в чём вопрос!

Защита сайта протоколом HTTPS уже давно не просто признак хорошего тона, а необходимость. Несмотря на то, что некоторые сайты ещё работают по HTTP-соединению, очень скоро HTTPS станет обязательным требованием «экологии» Интернета.

Решать, конечно, вам. Но имейте в виду, что с июля 2018 года Google считает небезопасным каждый веб-сайт, не использующий протокол HTTPS. Также WordPress и другие популярные CMS заявили, что некоторые функции теперь будут доступны только для веб-сайтов с протоколом HTTPS.

У меня до сих пор HTTP, что делать

Если ваш сайт обслуживается на хостинге REG.RU, достаточно заказать SSL-сертификат и перейти с HTTP протокола на HTTPS. Полный цикл:

Чтобы перейти на HTTPS:

Готово, теперь ваш сайт будет работать по HTTPS.

Помогла ли вам статья?

1697 раз уже
помогла

Взаимодействие по SSL — Технологии Яндекса

SSL-сертификат может понадобиться в двух случаях: для защиты данных пользователей (при работе с Яндекс.Кассой) и для аутентификации соединений с серверами Яндекс.Денег.

1. Сертификат для защиты персональных данных пользователей

Такой сертификат требуется при подключении к Яндекс.Кассе любого магазина с уведомлениями о платежах по HTTP (способы подключения — Модуль в CMS или HTTP-протокол). Его задача — обеспечить передачу данных пользователей в зашифрованном виде. В этом случае подойдет любой готовый сертификат для домена. Его можно получить бесплатно при подключении к Кассе или купить в любом официальном удостоверяющем центре. Самоподписной сертификат тоже подойдет.

Tip.

Не следует использовать SSL с поддержкой SNI (Server Name Identification).

2. Для аутентификации соединений с серверами Яндекс.Денег

Такой сертификат нужен для работы по протоколам Яндекс.Денег с проведением финансовых операций в рамках управления заказами (MWS): возвратов, отложенных платежей и других. А также для работы по протоколу массовых выплат и зачислений на кошельки. Для этих целей годится только специальный SSL-сертификат, выданный удостоверяющим центром ООО НКО «Яндекс.Деньги» (NBCO YM Root).

Если вы сомневаетесь, нужно ли вам получать сертификат, и какой именно, спросите у своего менеджера в Яндекс.Деньгах

Чтобы получить сертификат, нужно создать запрос на сертификат (в формате *.csr), заполнить заявку на получение сертификата и отправить запрос и заявку на сертификат по электронной почте своему менеджеру в Яндекс.Деньгах.

Tip.

Для генерации запроса на сертификат в формате *.csr используйте утилиту OpenSSL.

1. Создание приватного ключа

Выполните команду:

openssl genrsa -aes256 -out private.key 2048

Введите пароль и подтвердите. Например:

Enter pass phrase for private.key: 12345
Verifying - Enter pass phrase for private.key: 12345

В директории выполнения команды будет создан файл с приватным ключом: private.key.

Tip.

Это секретная информация. Сохраняйте конфиденциальность приватного ключа. Файл с приватным ключом зашифрован и защищен паролем.

2. Создание CSR-запроса на сертификат

Выполните команду:

openssl req -new -key private.key -out request.csr

Введите необходимые параметры для запроса на сертификат. Используйте только латинские символы.

Tip.

При создании CSR-запроса в Windows укажите в команде путь к конфигурационному файлу OpenSSL. Для этого добавьте к команде ключ -config «{path}» -out. Пример команды:

req -new -key private.key -config «C:\openssl-WIN32\openssl.cnf» -out request.csr

Пример заполнения параметров запроса на сертификат

Параметр

Значение

Примечание
Country Name (2 letter code) [AU]: RUОбязательное
State or Province Name (full name): RussiaОбязательное
Locality Name (eg, city): []: MoscowНе обязательное
Organization Name (eg, company) [Internet Widgits Pty Ltd]: OOO PredpriyatieВведите необходимые параметры для запроса на сертификат. Используйте только латинские символы.
Organizational Unit Name (eg, section) []:Не обязательное
Common Name (eg, YOUR name) []: /business/predpriyatie

Обязательное поле.

/business/ — обязательная часть этого параметра, ее менять не нужно. После нее могут следовать любые латинские буквы без пробелов. Например, название вашей компании латиницей.

Email Address: [email protected]

Обязательное

В директории, в которой была выполнена команда, будет создан файл request.csr.

3. Получение электронной подписи для заявки на сертификат

Электронная подпись нужна для заполнения заявки на сертификат, она содержится в файле сертификата.

Чтобы получить электронную подпись, выполните команду:

openssl req -in request.csr -noout -text

Текстовым представлением электронной подписи является часть ответа после строки Signature Algorithm: sha1WithRSAEncryption. Например:

Signature Algorithm: sha1WithRSAEncryption
5b:67:42:8c:5a:a7:bc:bf:05:99:77:39:2e:e7:e7:5d:8e:47:
09:e9:5a:46:62:3c:b1:63:2a:de:06:26:54:a4:12:b4:17:b2:
ca:ff:f4:3f:c0:09:ee:7a:88:5b:b9:f5:04:cb:24:bd:5f:bd:
3b:f7:38:54:71:1c:fe:98:17:66:ae:72:2d:8a:31:34:94:30:
58:ad:79:60:e5:ca:24:83:8b:c7:96:11:c6:d9:c9:6e:7a:b0:
83:20:96:96:08:72:38:3e:24:dc:30:35:f7:85:f4:d3:21:62:
13:44:1f:49:2a:d3:c2:73:2d:3b:fc:07:3f:20:8e:d3:c1:c8:
4c:3b:69:a3:24:56:1e:5c:9c:2f:eb:83:97:80:8b:25:5d:6a:
63:80:59:24:c0:1a:b5:ed:9f:fa:b9:6d:38:dc:6b:ff:29:9e:
24:b7:95:07:37:a9:71:90:ad:b7:51:d6:0e:62:82:5d:39:8a:
f2:4a:06:db:5e:2c:ae:4f:c8:76:2b:ee:e9:13:04:e3:72:c8:
6b:26:61:6c:aa:07:c1:3f:3c:b0:92:b0:29:5f:74:14:7c:34:
77:c8:c6:7a:2f:33:55:c5:0f:1d:e0:b7:8a:d9:84:d7:78:fb:
59:22:e0:58:49:97:16:f2:77:58:8b:8a:af:f2:af:43:b1:fa:
27:58:e1:c2
4. Заполнение заявки на сертификат

Скачайте заявку на сертификат, заполните и распечатайте. Подставьте подпись и печать. Отсканируйте.

ПараметрОписание
CNДолжно соответствовать значению параметра Common Name (eg, YOUR name). Например, /business/predpriyatie.
Электронная подпись запроса на сертификатТекстовое представление, полученное на предыдущем шаге.
Наименование организации латинскими буквамиДолжно соответствовать значению параметра Organization Name (eg, company) [Internet Widgits Pty Ltd].
Причина запроса

Возможные варианты:

  • первоначальный — для получения первого сертификата;

  • плановая замена — для замены сертификата, у которого закончился срок действия;

  • замена скомпрометированного — для замены ранее выпущенного сертификата при нарушении безопасности;

  • добавление сервера — для использования нового сертификата на дополнительных серверах или сервисах.

Контактное лицоКонтакты специалиста для связи при возникновении вопросов по выданному сертификату.
Адрес электронной почтыАдрес для отправки выпущенного сертификата.
5. Отправка запроса и заявки на сертификат в Яндекс.Деньги

Отправьте файл запроса на сертификат (request.csr) и скан заявки по электронной почте своему менеджеру в Яндекс.Деньгах.

Выпуск сертификата занимает не больше 2 рабочих дней.

6. Установка сертификата

В ответ на заявку менеджер в Яндекс.Деньгах пришлет файл с сертификатом. Срок действия сертификата 1 год.

Что дальше:

  1. Разместите сертификат на своем сервере.

  2. Пропишите путь к нему в настройках скриптов, которые взаимодействуют с Яндекс.Деньгами.

  3. Если вы проверяете сертификат конечного сервера, загрузите цепочку сертификации (сертификаты удостоверяющих центров NBCO YM Root и NBCO YM Int) и добавьте их в списки доверенных корневых и промежуточных центров сертификации своего ПО.
Tip.

При необходимости можно хранить пару «приватный ключ»—«сертификат» в едином зашифрованном файле-ключнице формата PKCS#12. Изготовить такую ключницу можно командой:

openssl pkcs12 -export -in username.crt -inkey private.key -out username.p12

За подробной информацией по установке сертификата обращайтесь к менеджеру по подключению.

Необходимо:
  • Проверять подлинность серверов Яндекс.Денег с помощью цепочки сертификации и не устанавливать соединение, если проверка не пройдет успешно.

  • Использовать свой приватный ключ и сертификат при установлении подключений к серверам Яндекс.Денег.

  • Сохранять конфиденциальность приватного ключа.

  • Самостоятельно следить за сроком действия сертификата.

Tip.
  • Дополнительно рекомендуется проверять сертификаты серверов Яндекс.Денег по списку отозванных сертификатов (Certificate Revocation List, CRL)
  • На каждый сервис, которому нужен доступ к серверам Яндекс.Денег, рекомендуется получить свой сертификат. Но можно использовать один сертификат на все сервисы.

В случае компрометации приватного ключа обязательно сообщите менеджеру в Яндекс.Деньгах.

Если срок действия сертификата закончится или он будет скомпрометирован, можно получить новый по данному регламенту.

SSL Checker Главная страница

Подробнее о SSLChecker.com

Proin gravida nibh vel velit auctor aliquet. Anean sollicitudin, lorem quis bibendum auctor, nisi elit consequat ipsum, nec sagittis sem nibh id elit.

Duis sed odio sit amet nibh vulputate cursus a sit amet mauris. Morbi Accumsan Ipsum Velit. Nam nec Tellus Odio Tincidunt Auctor и Ornare Odio. Sed non mauris vitae erat followquat auu eu in elit » «

Это фоторецензионная версия Lorem Ipsum.Proin gravida nibh Velvel Auctor Aliquet. Anean sollicitudin, lorem quis bibendum auctor, nisi elit consequat ipsum, nec sagittis sem nibh id elit. Duis sed odio sit amet nibh vulputate cursus a sit amet mauris. Morbi Accumsan Ipsum Velit. Nam nec Tellus Odio Tincidunt Auctor и Ornare Odio. Sed Non Mauris Vitae Erat Conquat Аутер ЕС в элите. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Морис в Эрат Хусто. Nullam ac urna eu felis dapibus condimentum сидят амегу.Sed non neque elit. Sed ut imperdiet nisi. Proin condimentum fermentum nunc. Etiam pharetra, erat sed fermentum feugiat, velit mauris egestas quam, ut aliquam massa nisl quis neque. Suspendisse в orci enim.

Это фоторецензионная версия Lorem Ipsum. Proin gravida nibh Velvel Auctor Aliquet. Anean sollicitudin, lorem quis bibendum auctor, nisi elit consequat ipsum, nec sagittis sem nibh id elit. Duis sed odio sit amet nibh vulputate cursus a sit amet mauris. Morbi Accumsan Ipsum Velit.Nam nec Tellus Odio Tincidunt Auctor и Ornare Odio. Sed Non Mauris Vitae Erat Conquat Аутер ЕС в элите. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Морис в Эрат Хусто. Nullam ac urna eu felis dapibus condimentum сидят амегу. Sed non neque elit. Sed ut imperdiet nisi. Proin condimentum fermentum nunc. Etiam pharetra, erat sed fermentum feugiat, velit mauris egestas quam, ut aliquam massa nisl quis neque. Suspendisse в orci enim.

Это фоторецензионная версия Lorem Ipsum.Proin gravida nibh Velvel Auctor Aliquet. Anean sollicitudin, lorem quis bibendum auctor, nisi elit consequat ipsum, nec sagittis sem nibh id elit. Duis sed odio sit amet nibh vulputate cursus a sit amet mauris. Morbi Accumsan Ipsum Velit. Nam nec Tellus Odio Tincidunt Auctor и Ornare Odio. Sed Non Mauris Vitae Erat Conquat Аутер ЕС в элите. Class aptent taciti sociosqu ad litora torquent per conubia nostra, per inceptos himenaeos. Морис в Эрат Хусто. Nullam ac urna eu felis dapibus condimentum сидят амегу.Sed non neque elit. Sed ut imperdiet nisi. Proin condimentum fermentum nunc. Etiam pharetra, erat sed fermentum feugiat, velit mauris egestas quam, ut aliquam massa nisl quis neque. Suspendisse в orci enim.

,
Comodo SSL Checker — инструмент проверки сертификатов SSL / TLS
  • О нас
    • Почему выбирают нас?
    • Политика возврата
    • Политика конфиденциальности
    • Отказ от ответственности
    • Свяжитесь с нами
  • Обновления
    • Обновить мой просроченный сертификат сейчас!
    • Когда мне нужно обновить мой сертификат?
    • Как мне продлить мой сертификат?
    • Я сохраняю тот же сертификат?
    • Зачем мне нужно обновлять сертификат SSL?
  • Поддержка
    • Отправить билет
    • База знаний
    • Как работает SSL
    • FAQ
    • Глоссарий
    • Гарантия соответствия цен
    • SSL видео
    • Кредит / Возврат
    • Запрос цен
    • SHA-1 Sunsetting
  • Ресурсы
    • SSL Tools
    • Сравнить SSL-сертификаты
    • Процесс проверки SSL
  • Блог
  • Войти
  • SSL Brands
    • SSL Бренды
    • Comodo SSL
    • Мгновенный SSL
    • Положительный SSL
    • Essential SSL
    • Enterprise SSL
    • Все SSL-сертификаты
  • SSL Типы
    • Типы SSL
    • EV
    • OV
    • DV
    • Wildcard
    • Multi-Domain
    • Многодоменный подстановочный знак
  • Кодовая подпись
    • Кодовая подпись
    • Comodo Code Signing
    • Comodo EV кодовое обозначение
    • Индивидуальное кодовое обозначение Comodo
    • Microsoft Authenticode Code Signing
    • Windows 8 & 10 Code Signing
    • Adobe AIR Code Signing
    • Microsoft Office и подпись кода VBA
    • Java Code Signing
    • Mozilla Code Signing
    • Microsoft Silverlight подписи кода
  • Web Security
    • Web Security
    • HackerGuardian PCI Scan Центр управления
    • HackerProof Trust Mark
    • PCI Scanning Enterprise Edition
    • Веб-инспектор
    • cWatch Web
  • Электронная почта и ID
    • Электронная почта и ID
    • Сертификаты аутентификации
    • сертификатов электронной почты
  • Предприятие
    • Enterprise Program
    • Comodo Certificate Manager (CCM)
    • Comodo S3
    • Массовые закупки (SSL)
    • Массовые закупки
    • (электронная почта)
  • Partner
    • Partner
    • Программа для реселлеров
    • Партнерская программа
    • Enterprise Program
  • О нас
    • О нас
    • Почему выбирают нас?
    • Политика возврата
    • Политика конфиденциальности
    • Отказ от ответственности
    • Свяжитесь с нами
  • Обновления
    • Обновления
    • Обновить мой просроченный сертификат сейчас!
    • Когда мне нужно обновить мой сертификат?
    • Как мне продлить сертификат?
    • ли я сохранить тот же сертификат?
    • Зачем мне нужно обновлять сертификат SSL?
  • Поддержка
    • Отправить билет
    • База знаний
    • Как работает SSL
    • FAQ
    • Глоссарий
    • Гарантия соответствия цен
    • SSL видео
    • Кредит / Возврат
    • Запрос цен
    • SHA-1 Sunsetting
  • Ресурсы
    • Ресурсы
    • SSL Tools
    • Сравнить SSL-сертификаты
    • Процесс проверки SSL
  • Блог
  • Войти

+1 (888) 481.5388

  • SSL брендов
    • Comodo SSL
    • Мгновенный SSL
    • Положительный SSL
    • Essential SSL
    • Enterprise SSL
    • Все SSL-сертификаты
    • Comodo SSL-сертификат
    • Comodo Wildcard SSL
    • Comodo подтвержден домен UCC SSL
    • Comodo Elite SSL
    • Многодоменный SSL Comodo
    • Многодоменный подстановочный знак Comodo SSL
    • Comodo UCC SSL
    • Comodo UCC Wildcard SSL
    • Comodo EV SSL
    • Comodo EV Многодоменный SSL
    • Мгновенный SSL
    • Instant SSL Pro
    • Instant SSL Premium
    • Мгновенный SSL Premium Wildcard
    • Положительный SSL
    • Положительный SSL Wildcard
    • Положительный SSL Многодоменный
    • Положительный SSL Многодоменный Wildcard
    • Положительный SSL EV
    • Положительный SSL EV Multi-Domain
    • Essential SSL
    • Essential SSL Wildcard
    • Enterprise SSL
    • Enterprise SSL Pro
    • Enterprise SSL Pro Wildcard
    • Enterprise SSL EV
    • Enterprise SSL Pro EV Мультидоменный
    • Просмотреть все SSL-сертификаты
  • типов SSL
    • EV
    • OV
    • DV
    • Wildcard
    • Multi-Domain
    • Многодоменный подстановочный знак
    • Единый домен
  • Подписание кода
    • Comodo Code Signing
    • Comodo EV кодовое обозначение
    • Индивидуальное кодовое обозначение Comodo
    • Microsoft Authenticode Code Signing
    • Windows 8 & 10 Code Signing
    • Adobe AIR Code Signing
    • Microsoft Office и подпись кода VBA
    • Java Code Signing
    • Mozilla Code Signing
    • Microsoft Silverlight подписи кода
  • Web Security
    • HackerGuardian PCI Scan Центр управления
    • HackerProof Trust Mark
    • PCI Scanning Enterprise Edition
    • Веб-инспектор
    • cWatch Web
  • Электронная почта и ID
    • Сертификаты аутентификации
    • сертификатов электронной почты
  • Предприятие
.
SSL Checker — Проверьте настройки TLS / SSL сервера и уязвимости

TLS & SSL Checker выполняет подробный анализ конфигурации TLS / SSL на целевом сервере и порте, включая проверяет уязвимости TLS и SSL, такие как BREACH, CRIME, инъекция OpenSSL CCS, Heartbleed, POODLE и т. д. Инструмент предоставляет подробную информацию о цепочке сертификатов, путях сертификатов, протоколах TLS и SSL и наборах шифров, и указывает на проблемы в конфигурации целевого сервера и проблем сертификата.

Этот инструмент может помочь вам развернуть службы, работающие по протоколам TLS / SSL, так, чтобы они были безопасными против известных векторов атаки. Наша проверка SSL поддерживает не только HTTPS, но и другие протоколы, включая SMTPS, POP3S, RDP, FTPS, IMAPS и другие. STARTTLS также поддерживается на отдельных протоколах.

По данным Надежного интернет-движения Опрос SSL Pulse, уровень безопасности большинства веб-сайтов, использующих HTTPS, неадекватен. Немногие администраторы хорошо осведомлен обо всех аспектах безопасности, связанных с протоколами TLS / SSL, и, таким образом, новые небезопасные машины подключены к сети ежедневно.Текущее состояние покрытых TLS / SSL сервисов на серверах во всем мире нуждается в улучшении, и наш SSL Checker — один из инструментов, который может помочь.

Наша программа проверки основана на модифицированном сканере SSLyze, testsl.sh и наш собственный инструмент анализа сертификатов.

Тестирование вашего сервера очень просто. Если вы запускаете веб-сервер HTTPS на одном IP-адресе, просто заполните доменное имя и нажмите «Проверить SSL / TLS!» кнопка. Дождитесь результатов и проанализируйте результаты.Порт по умолчанию по умолчанию настроен на общий порт HTTPS 443.

Если ваш домен разрешает более одного IP-адреса, вы можете указать, какой IP-адрес должен быть отсканированы. Для этого используйте поле IP-адрес . Если вы используете свой сервис на другом порту, просто измените поле Порт . Если целевой порт является одним из общих портов (например, 110 для POP3 или 25 для SMTP), и если протокол распознается, будет поддерживаться STARTTLS автоматически.Для всех других протоколов подразумевается неявный TLS / SSL.

Длина сканирования зависит от конфигурации целевого сервера. В крайних случаях, когда противодействие Фильтрация реализована, это может занять очень много времени для завершения или даже тайм-аут. Тем не менее, для большинства услуг, сканирование завершается в течение 2 или 3 минут, редко это занимает более 5 минут. Если вы зарегистрированный пользователь, Вам не нужно ждать окончания сканирования с открытым браузером. Вы можете проверить свои История задач в любое время, чтобы увидеть результаты всех проверок ты казнил.

Выходная структура

Сводка проблем Раздел содержит список всех проблем, которые наш инструмент обнаружил во время сканирования. Информация в этом разделе актуальна как для опытных пользователей, так и для обычных пользователей. Наиболее важные проблемы отображаются на красном фоне. Красные предупреждения следует воспринимать серьезно и исправлять как можно скорее, если безопасность имеет решающее значение для целевой службы. Некритические проблемы отображаются на желто-оранжевом фоне.Это хорошая идея, чтобы узнать больше об этих проблемах и рассмотреть возможность их устранения. если возможно. Наконец, есть проблемы на уровне уведомлений (с синим фоном), которые просто информируют вас о потенциальная проблема, которая может скоро иметь к вам отношение (например, срок действия сертификата сервера истекает в ближайшем будущем).

Дальнейшие разделы содержат более подробную информацию об проанализированных протоколах и сертификатах. Большая часть информации Представленные в этих разделах предназначены только для опытных пользователей.Если любое из значений, представленных в этом разделе представляет критическую проблему, она написана красным. Аналогично, некритические значения записываются оранжевым цветом. Информация о потенциальных будущих проблемах написана синим цветом. Зеленый цвет представляет значения, которые настроены хорошо и как-то важны для безопасности целевой службы.

Раздел Certificate Chain содержит цепочку сертификатов, предоставляемых самим целевым сервером. Он начинается с сертификата сервера, для которого мы предоставляем информацию о действительности, используемом ключе и подписи алгоритмы, отпечаток сертификата и некоторые дополнительные детали, такие как расширенный сертификат проверки, поддерживает ли он прозрачность сертификата, какие методы отзыва поддерживаются.Для общедоступных услуг, вероятно, наиболее важным значением здесь является то, является ли сертификат Доверенные . Мы проверяем статус доверия сертификата сервера по четырем различным хранилищам доверия — Apple, Java, Microsoft и Mozilla. Если какие-либо из них отсутствуют, некоторые пользователи могут увидеть предупреждения о недоверенных сертификат или не сможет подключиться к целевой службе вообще.

Раздел Сертификат Детали содержит список различных путей сертификации.Доверие каждого сертификата может быть подтвержденным одним или несколькими сертификатами. Корневой сертификат в каждом пути самоподписан и должен находиться в хранилище доверенных сертификатов. клиента, чтобы клиент знал, что весь путь является доверенным. Для каждого сертификата мы также предоставляем информацию о том, как это было получено. Корневые сертификаты должны быть в доверенном хранилище, что означает они хранятся локально на клиенте. Значение «Отправлено по серверу» означает, что сертификат был напрямую отправлен целевым сервером.Сертификаты, помеченные как Дополнительные загрузки, должны были быть полученным из внешнего источника, что неприятно, так как это означает начальное подключение к целевой службе занимает больше времени, чем необходимо.

В разделе Сведения о протоколе содержатся интересные данные о следующих поддерживаемых функциях и обнаруженных уязвимостях:

  • , Безопасное повторное согласование , Безопасное повторное согласование, инициированное клиентом , Небезопасное повторное согласование, инициированное клиентом — Пересмотр — это возможность изменить защитное соединение между клиентом и сервером после установления защитного соединения.Эта функция используется, например, когда требуется проверка подлинности клиента или если требуется новый набор ключей или алгоритмов. Дополнительная информация: Почему должно быть включено безопасное повторное согласование ?, Безопасное повторное согласование, инициированное клиентом, уязвимо для DoS, Атакует небезопасное повторное согласование, инициированное клиентом.
  • OCSP Stampling — Альтернативный подход для проверки статуса отзыва сертификатов, который имеет меньшие ресурсы, по сравнению с протоколами OCSP и CRL. Больше информации: OCSP сшивается в Википедии.
  • Строгая транспортная безопасность (HSTS) — HSTS — это механизм, который информирует клиентов о том, что всегда следует использовать только защищенный протокол (HTTPS) вместо незащищенного (HTTP). Соответствующие клиенты, таким образом, не будут пытаться получить доступ к целевому серверу через HTTP, даже если схема ссылки — HTTP, а не HTTPS. Такие ссылки автоматически преобразуются в их безопасный вариант. Если клиент не может установить защищенное соединение с целевым сервером, он отобразит ошибку.Дополнительная информация: HTTP Strict Transport Security в Википедии.
  • Возобновление сеанса (идентификаторы сеансов) , Возобновление сеансов (билеты сеансов) — Функции возобновления ускоряют HTTPS за счет исключения необходимость сложного рукопожатия с каждым новым защищенным соединением. Если возобновление поддерживается, клиенту нужно выполнить сложное рукопожатие только один раз и использовать механизмы возобновления для дальнейших соединений, чтобы избежать дополнительных циклов. Дополнительная информация: объяснение возобновления сеанса.
  • Deflate Compression — Сжатие в протоколах экономит полосу пропускания и улучшает скорость передачи. Однако в сочетании с протоколами безопасности использование сжатия может привести к уязвимостям и ослабить безопасность. протокола. Дополнительная информация: HTTP-сжатие в Википедии.
  • Предотвращение атак с понижением рейтинга (TLS_FALLBACK_SCSV) — В настоящее время существует пять широко используемых версий SSL и TLS. Более старые версии, такие как SSL 2 и SSL 3 как известно, небезопасны.Также старые версии TLS уже были признаны уязвимыми для различных атак. Серверы обычно поддерживают более одной версии безопасной протокол для поддержки всех видов клиентов, включая очень старых клиентов. Предотвращение атак на более ранние версии — это механизм предотвращения манипулирования сторон использовать менее безопасные протоколы, чем клиент и сервер поддержки. Дополнительная информация: RFC 7507 — Значение комплекта резервного шифрования сигналов TLS.
  • поддерживает небезопасные шифры , поддерживает слабые шифры — протоколы SSL и TLS могут работать со многими различными типами шифров.Существенный однако набор поддерживаемых шифров оказался слабым или ненадежным с течением времени. Если эти шифры используются, существует риск, что зашифрованная связь будет расшифрован. Дополнительная информация: Слабые параметры обмена DH и общие числа DH, Сломанный шифр RC4.
  • Common DH Prime — Многие серверы по всему миру основаны на общих реализациях библиотек протоколов безопасности, Это означает, что эти серверы используют одинаковые простые числа для обмена ключами Диффи-Хеллмана, если не указано иное.Такие серверы уязвимы для взлома шифрования, если простые числа достаточно малы (то есть менее 2048 бит). Больше информации: общие простые числа DH.
  • Прямая секретность — Совершенная прямая секретность является свойством безопасного протокола, который гарантирует, что даже если ключи одного сеанса скомпрометированы, все остальные сеансы останутся в безопасности. Больше информации: вперед секретность в Википедии.
  • Уязвимость BREACH — пример уязвимости CRIME, которая атакует сжатие HTTP.Больше информации: BREACH атака.
  • Уязвимость CRIME — Уязвимость, которая может быть использована для расшифровки небольших частей данных защищенной связи — например, куки аутентификации. Это может привести к перехвату сессии и другим серьезным атакам. Он использует сжатие SPDY и TLS. Больше информации: Информация об утечке сжатия — Made Easy в Википедии.
  • OpenSSL CCS Injection — Эта уязвимость позволяет MITM перехватывать зашифрованные данные и расшифровывать их при форсировании стороны используют слабые ключи, которые подвергаются атакующему.Дополнительная информация: Уязвимость в CCS, связанная с инъекцией, CVE-2014-0224.
  • Уязвимость Heartbleed — Одна из самых известных уязвимостей в библиотеке OpenSSL. Это позволяет читать память затронутых систем, что может привести к взлому секретных ключей или других конфиденциальных данных. Дополнительная информация: Ошибка Heartbleed, CVE-2014-0160.
  • Уязвимость POODLE . Эта уязвимость влияет на режим шифрования SSL 3 и CBC в TLS и позволяет злоумышленнику MITM дешифровать содержимое зашифрованного сообщения.Дополнительная информация: этот пудель кусается в блоге по безопасности Google, CVE-2014-3566.
  • Уязвимость BEAST — Эта уязвимость использует блочные шифры SSL / TLS и может быть использована с использованием вредоносного JavaScript код или Java-апплет, которые выполняются в браузере клиента. Успешная атака BEAST позволяет расшифровать зашифрованные куки. Дополнительная информация: Атака BEAST на Википедию, CVE-2011-3389.
  • Уязвимость FREAK — еще одна атака, которая может заставить клиента и сервер использовать более слабое шифрование, чем они фактически поддерживают.Это может привести к расшифровке всего сообщения. Дополнительная информация: отслеживание атаки FREAK, CVE-2015-0204, CVE-2015-1067, CVE-2015-1637.
  • Уязвимость LOGJAM — Эта уязвимость позволяет злоумышленнику MITM ослаблять уязвимые соединения. Он атакует обмен ключами Диффи-Хеллмана со слабыми параметрами. Дополнительная информация: Атака Logjam, CVE-2015-4000.

В разделе Поддерживаемые протоколы и комплекты шифров перечислены все поддерживаемые протоколы и их комплекты шифров.Уровень безопасности (оценка) каждого поддерживаемый набор шифров оценивается как безопасный, слабый или ненадежный. Фактическая оценка зависит от размера ключей, используемых параметров и от того, уязвим ли шифр для известных атак. Дополнительная информация о также предоставляются некоторые функции и значения — размер ключа , поддержка прямой секретности ( FS ), независимо от того, является ли он анонимным или набором экспортных шифров, и является ли он предпочтительным для сервера.

,
SSL Security Test | Сканирование веб-сервера и сервера электронной почты SSL TLS STARTTLS Шифрование

ImmuniWeb Discovery

Для целей непрерывного мониторинга мы предлагаем вам воспользоваться нашим отмеченным наградами предложением ImmuniWeb® Discovery, разработанным специально для непрерывного мониторинга с гибкими круглосуточными уведомлениями.

Коммерческий API

ImmuniWeb предоставляет коммерческий доступ к API-интерфейсу SSL Security Test с расширенными ограничениями на количество ежедневных тестов.Пожалуйста, свяжитесь с нами, чтобы получить персональное предложение. Цены начинаются от 500 грн в месяц.

Некоммерческие, исследовательские и академические учреждения могут запросить коммерческий API бесплатно. Пожалуйста, пришлите ваши требования использования API для получения дополнительной информации.

Бесплатный API

ImmuniWeb предоставляет вам бесплатный API для тестирования ваших серверов SSL / TLS. Чтобы обеспечить высокую скорость обслуживания и доступность для всех, бесплатный API позволяет в общей сложности 50 запросов в течение 24 часов с одного IP-адреса.

Для предотвращения злоупотреблений был создан механизм защиты, чтобы исключить возможность проверки IP-адресов, не связанных с проверенным доменным именем. Как следствие, если доменное имя разрешается в несколько IP-адресов, второй запрос будет обязательным, указав один из IP-адресов, на которые отвечает сервер вместе с выданным токеном (примеры приведены ниже). Однако, если проверенное доменное имя может быть преобразовано только в один IP-адрес, оно будет немедленно проверено.

Кроме того, существуют разные уровни пользователей, каждый из которых обеспечивает свой уровень использования API.

Уведомление о лицензии: API предоставляется бесплатно как для частных, так и для коммерческих целей. При использовании бесплатного API обязательна поддержка сообщества ImmuniWeb® при отображении результатов. Невыполнение этого требования может привести к бану и юридическим последствиям.

API-документация и инструкции по эксплуатации

Полная документация API

Спецификации API

Имя поля Значение
Протокол HTTPS
Тип запроса POST
URL https: // www.immuniweb.com/ssl/api/v1/check/[ustamp].html — где «ustamp» — произвольная метка времени UNIX (должна быть целым числом). Такое построение сделано для предотвращения кеширования на стороне клиента.

Спецификация данных POST

Имя поля Значение
api_key секретный токен, который вы отправляете вместе с запросом
домен: порт должен быть действительным доменным именем или IP-адресом, за которым следует номер порта.Если порт не указан, по умолчанию используется 443.
show_test_results «false» означает, что результаты теста будут скрыты, «true» означает, что результаты теста будут отображаться в статистике.
choosen_ip IP-адрес проверяемого сервера (если проверяемый домен разрешается по нескольким адресам).
перепроверять «false» будет использовать результаты из кэша, если сервер был протестирован в течение последних 24 часов, «true» выполнит новый тест, не просматривая кэш.
многословие 1 означает, что выходные данные будут подробными, 0 означает, что выходные данные будут короткими.
токен значение токена, отправленного сервером, если тестируемый домен разрешен в несколько IP-адресов.

Пример транзакции с использованием CURL

$ curl -XPOST -d ‘domain = twitter.com: 443 & choosen_ip = any & show_test_results = true & recheck = false & verbosity = 1 » https://www.immuniweb.com/ssl/api/v1/check/1451425590.html ‘

{«debug»: true, «job_id»: 2a9379648646106106106106106106b6156b6156b6151b6106b6106b6x10006106b1x1506x1x10006151b6x1x1x10006x1011x10005e5e5e6e0e5e6e0e6e0e6e0e6e0e6e0e6e0e6e0e6e0e6e0e6e0e6e4e6e6e0 , «status»: «test_started», «status_id»: 1, «message»: «Тест запущен»}

$ curl -XPOST -d ‘job_id = 2a9e1f1bc92dc0c7a4bde930dff488771eea6d36988208d34163c8ww.wm/w64/wb/7/8wwb/7/8bw646 / API / v1 / get_result / 1451425590.HTML»

{ «job_id»: «2a9e1f1bc92dc0c7a4bde930dff488771eea6d36988208d34163c5496227b8dc», «статус»: «in_progress», «status_id»: 2, «ETA»: 2, «сообщение»: «Ваш тест продолжается»}

$ локон -XPOST -d ‘domain = twitter.com: 443 & choosen_ip = any & show_test_results = true & recheck = false & verbosity = 1’ ‘https://www.immuniweb.com/ssl/api/v1/check/1451425590.html’

{«test_id»: «c84936bbf5b6156f4» «,» status «:» test_cached «,» status_id «: 3,» message «:» Тест кэширован «}}

$ curl -XPOST -d ‘id = c84936eef26eeb8aaef5ffc43f38ddb91adfd90ac27fb416bd0b21fe2edb1004’ https://www.pspimmuniweb.com/ssl/api/v1/get_result/1451425590.html ‘

$ curl -XPOST -d’ domain = twitter.com: 443 & show_test_results = true & recheck = false & verbosity = 1 » https://www.immuniweb.com/ssl /api/v1/check/1451425590.html ‘

{«multiple_ips»: [«199.16.156.6», «199.16.156.102», «199.16.156.70», «199.16.156.230»], «token»: «68j3OCZLEomtjASxKoObjZXzL7» 2 }

$ curl -XPOST -d ‘domain = twitter.ком: 443 & show_test_results = истина и перепроверки = ложь и choosen_ip = 199.16.156.230 & многословие = 1 & маркер = 68j3OCZLEomtjASxKoObjZXzX7p2M7L0’ ‘https://www.immuniweb.com/ssl/api/v1/check/1451425590.html’

$ локон -XPOST -d «домен = 0.0.0.0 & show_test_results = true & recheck = false & verbosity = 1 » https://www.immuniweb.com/ssl/api/v1/check/1451425590.html ‘

{«error»: «доменное имя не может быть разрешено», » error_id «: 7}

Пример ответа сервера

,

Leave a Reply