Hoje, não há site ou portais para pagamentos ou acesso à informações pessoais que não trabalhe via SSL. Isso existe para aumentar a proteção do que está sendo gravado.
Sabemos que isso não é 100% e depende de alguns fatores como a rede a qual o usuário está utilizando também ser segura, já que pode ter alguém utilizando de técnicas como DNS Spoofind e SSLStrip, por exemplo, para conseguir os dados da vítima. Já falamos isso em alguns posts.
Um outro ponto é que nesses últimos 3 meses foram anunciadas uma série de vulnerabilidades que tinham como foco o TLS/SSL. Muitas administradores recorreram à workarounds para contornarem esses problemas. Mas vai a minha pergunta “Como saber que as configurações do seu Web Server estão corretas ? ”
A Qualys, uma das empresas americanas que mais focam em segurança para Web, possui um sistema via web o usuário pode colocar a URL do site que ele deseja testar e depois, ele recebe o resultado de quais vulnerabilidades este site possui. Mas isso dedicado para a verificação das configurações para o SSL, tanto é que o nome deste serviço é o SSL Server Test.
Acabei encontrando um programa chamado SSLyze que também faz os testes para garantir a segurança quanto as configurações do seu servidor SSL. Vejam algumas de suas features:
- Insecure renegotiation testing
- Scanning for weak strength ciphers
- Checking for SSLv2, SSLv3 and TLSv1 versions
- Server certificate information dump and basic validation
- Session resumption capabilities and actual resumption rate measurement
- Support for client certificate authentication
- Simultaneous scanning of multiple servers, versions and ciphers
Ele é capaz de dizer se o seu servidor é vulnerável ou não ao ataque DoS SSL via THC. O download desta ferramenta poderá ser feito via o seguinte link.