12 febrero 2010

Comprobar tipos de cifrado SSL

Parece que nos pasamos el día hablando de SSL. Normal, teniendo en cuenta ejemplos como el de la Agencia Pituitaria, el fallo que se reportó el año pasado o las coñitas que hace todo geek que se precie sobre la aleatoriedad del openssl de debian.

Hoy os presentamos una herramienta llamada SSL Audit (zip) de Thierry Zoller (G-Sec) para averiguar los cifrados SSL soportados por un servicio de este tipo y sus niveles de fortaleza. Algo similar a lo que hace serversniff.net o SSLDigger, pero un poco más potente, ya que no se limita a los soportados por OpenSSL o NSS. 

Para usarlo tan solo hay que añadir el host y su puerto y pulsar sobre 'Start'. Para rematar, como opción experimental  se realiza fingerprint sobre el servidor en base a la respuesta. Si hace falta más ayuda, en el archivo comprimido también se incluye un breve manual de uso, y en la web un vídeo.

La aplicación aún es Alpha y el fingerprint está verde (el autor reconoce que reporta falsos positivos), aunque por lo que he podido comprobar, funciona bastante bien.


1 comments :

Miguel dijo...

te vamos a acabar llamando "mister toolman" ;)

otra "pal bote". Gracias!