sslscan

Pour vérifier la bonne configuration d’un serveur (web ou autre) utilisant SSL il y a bien sûr le site Qualys SSL Labs, cependant il n’est utilisable que si le serveur est accessible d’une façon ou d’une autre depuis internet.

sslscan permet de faire cette vérification en local, et de façon plus rapide (car on n’a pas nécessairement besoin de toutes informations fournies par le test de SSL Labs).

sslscan utilise une librairie openssl customisée afin de pouvoir continuer à utiliser des protocoles et algorithmes obsolètes pour de pouvoir réaliser ses tests. C’est pourquoi il est compilé habituellement en static, ce qui le rend de surcroît facilement transportable (puisqu’il n’y a qu’un exécutable). Ainsi il est facile de le compiler sur une machine ayant un accès internet et les outils de compilation (ce qui n’est normalement pas le cas des machines de production) et de l’utiliser ensuite ailleurs.

Compilation de sslscan:

Ci dessous un test de sslscan sur le serveur u03.fr, sur ce test on voit que seuls TLSv1.0, TLSv1.1 et TLSv1.2 sont disponibles (c’est bien), et seulement des algorithmes de chiffrement de niveau élevé, tous les algorithmes utilisent DHE ou ECDHE et permettent donc de faire du PFS, c’est qui permet d’obtenir un A su test de Qualys SSL Labs (voir aussi mon billet « A+ »):

A l’inverse voici un site mal configuré, il autorise encore du SSLv3, ainsi qu’un protocole de chiffrement faible (RC4) et ça c’est mal…

Il est également possible d’obtenir le certificat SSL du serveur:

sslscan dispose de nombreuses options qui permettent par exemple de scanner une liste de serveurs ou d’obtenir le résultat en XML, ce qui permet d’automatiser des tests:

Voici un exemple de sortie en XML:

 

 

 

 

 

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.