Резюме:

Инструменты аудита сервисов, использующих протоколы SSL/TLS, необходимы системным администраторам, аудиторам, инженерам по интернет-безопасности для выявления и наладки «слабых» параметров сервера, использующего соответствующие протоколы. В настоящее время существует большое количество различных инструментов аудита сервисов, использующих протоколы SSL/TLS. В статье рассматриваются наиболее широко используемые и предоставляющие наибольшую функциональность: SSLScan, Comodo SSL Analyzer, Qualys SSL Server Test, SSLyze. Проведенное сравнение инструментов для аудита сервисов, использующих протоколы SSL/TLS, показало, что все рассмотренные инструменты аудита позволяют проводить проверки сертификатов, поддерживаемых версий протоколов, алгоритмов шифрования. Большинство сервисов поддерживает определение уязвимости сервиса к распространённым атакам. Выявлен и ряд недостатков существующих инструментов: зависимость от сторонних реализаций протокола SSL/TLS, невозможность расширения функционала пользователем и, в некоторых случаях, отсутствие проверки на все современные уязвимости.

Ключевые слова: криптографический протокол, SSL, TLS, уязвимость, средства шифрования, аудит, обнаружение уязвимостей

Комментарии (0)