Hoje, não há site ou portais para pagamentos ou acesso à informações pessoais que não trabalhe via SSL. Isso existe para aumentar a proteção do que está sendo gravado.

Sabemos que isso não é 100% e depende de alguns fatores como a rede a qual o usuário está utilizando também ser segura, já que pode ter alguém utilizando de técnicas como DNS Spoofind e SSLStrip, por exemplo, para conseguir os dados da vítima. Já falamos isso em alguns posts.

Um outro ponto é que nesses últimos 3 meses foram anunciadas uma série de vulnerabilidades que tinham como foco o TLS/SSL. Muitas administradores recorreram à workarounds para contornarem esses problemas. Mas vai a minha pergunta “Como saber que as configurações do seu Web Server estão corretas ? ”

A Qualys, uma das empresas americanas que mais focam em segurança para Web, possui um sistema via web o usuário pode colocar a URL do site que ele deseja testar e depois, ele recebe o resultado de quais vulnerabilidades este site possui. Mas isso dedicado para a verificação das configurações para o SSL, tanto é que o nome deste serviço é o SSL Server Test.

Acabei encontrando um programa chamado SSLyze que também faz os testes para garantir a segurança quanto as configurações do seu servidor SSL. Vejam algumas de suas features:

  • Insecure renegotiation testing
  • Scanning for weak strength ciphers
  • Checking for SSLv2, SSLv3 and TLSv1 versions
  • Server certificate information dump and basic validation
  • Session resumption capabilities and actual resumption rate measurement
  • Support for client certificate authentication
  • Simultaneous scanning of multiple servers, versions and ciphers

Ele é capaz de dizer se o seu servidor é vulnerável ou não ao ataque DoS SSL via THC. O download desta ferramenta poderá ser feito via o seguinte link.