![Page 1: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/1.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Von einem, der auszog seineneigenen SSL/TLS-Checker
zu schreiben
Dirk Wetter
Von einem, der auszog seineneigenen SSL/TLS-Checker
zu schreiben
Dirk Wetter
Licence: http://creativecommons.org/licenses/by-nc-sa/4.0/
@drwetter
![Page 2: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/2.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Independent Security Consultant– Offense / Defense / Security Project Management– Historical strong Unix/networking background
• Programming: a ~century ago
OWASP Involvement– OWASP AppSec Research 2013 – German OWASP Day 2012, 2014– German Chapter Lead– Helping hand here/there
chair
0. Wer steht da vorne?
![Page 3: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/3.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
testssl.sh Gestartet ~2005 als Inhouse-Tool (Pentests) Open sourced: <= 2010
2/2014: gleichnamige Domain 4/2014: bitbucket 10/2014: github
Distros: ArchLinux, BackTrack, BlackArch Linux Debian : wishlist
1. Overture
![Page 4: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/4.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
testssl.sh Besonderheit: Kommandozeile!
/bin/bash
Kompatibel: Linux Mac OS X (Free)BSD Windows: MSYS2, Cygwin
1. Overture
![Page 5: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/5.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Anno 2005 OpenSSL als Schweizer Messer Mit paar Befehlen überprüf
CN / expiration date● Zertifikate
Protokollversionen Cipher
Trust: s.o. / -verify Browser
Bild: https://de.wikipedia.org/wiki/Datei:Victorinox_Evolution_14.jpg von „Vdv-r31“. Lizenz: CC BY-SA 4.0
2. Idee
![Page 6: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/6.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Demo
2. Idee
![Page 7: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/7.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Anno 2005 Mehr? Brauchte es (fast) nicht
Ok ok ... es gab da so ein paar Bugs ;-)
● Debian weak keys (2006, CVE-2008-0166)● Sonst: Version/Banner Fingerprinting● Sonst: NSE Plugin ggf.
2. Idee
![Page 8: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/8.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Anno 2015 Tierisch gewachsen
Gut 5000 Zeilen Code Relativ „reif“ Viele Features
Drei Releases
3. Status
→ Demo
![Page 9: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/9.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Anno 2015 Verwundbarkeiten
3. Status
→ Demo
![Page 10: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/10.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Aber wie macht der das mit Heartbleed
TLS Extension Heartbeat: sinnlose Extension
● (für die meisten)
3. Status
→ Demo
![Page 11: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/11.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Request
![Page 12: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/12.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Heartbeat-Request (mit Heartbleed Payload)
![Page 13: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/13.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Heartbleed Response
![Page 14: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/14.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Aber wie macht der das mit Heartbleed
TLS Extention Heartbeat: sinnlose Extension
● für die meisten
Buffer Overflow, mem access Trivialer Zugriff Geht nicht mit OpenSSL! PoC in bash sockets
3. Sockets vs. OpenSSL 3. Status
→ Demo
![Page 15: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/15.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Sockets vs. OpenSSL Heartbleed
TLS Extension CCS Injection
braucht Sockets SSLv2 Handshake TLS Handshakes
Client hello Parser für Server Hello TLS Time
3. Status
![Page 16: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/16.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
![Page 17: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/17.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Sockets vs. OpenSSL Neue Distributionen / Mac OSX: „Fixes“
Null, Anonymous Ciphers SSLv2
● Wg. SSL-Poodle: SSLv3 maybe coming? export ciphers (FREAK) weak DH ciphers (Logjam)
3. Status
![Page 18: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/18.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Sockets vs. OpenSSL OTOH..
Verteilung von Binaries● Basierend auf Peter Mosmans fork● Linux, BSD, Darwin, ARM
Borken features / ciphers Advanced features / ciphers
● 3x Chacha20/Poly1305 cipher● -proxy, -xmpphost <host>, …● Horizont: OpenSSL 1.1.0: CCM Cipher
Häßlich: github Docker PR
3. Status
![Page 19: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/19.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Sockets vs. OpenSSL Beides!
Sockets, ggw. wo nötig Protokoll check SSLv2 (- TLS 1.1) TLS time s.o. HB+CCS
Auch beides: Proxy STARTTLS
3. Status
→ Code
![Page 20: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/20.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Statische Code Analyse Shellcheck (github.com/koalaman/shellcheck) Demo: shellcheck.net Demo an testssl.sh
Sicherheit: eher zufällig
3. Status
![Page 21: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/21.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Grenzen Threads / Events
Wichtig für borken Server/ load Balancer etc. Gibt's nicht, Krücke:
Pollen, Resultate in $HEADERFILE, $ERRFILE
3. Status
printf "$GET_REQ11" | $OPENSSL s_client -quiet -connect $NODEIP:$PORT \ $PROXY $SNI 1>$HEADERFILE 2>$ERRFILE &
wait_kill $! $MAXSLEEP # wait_kill() waits for PID (= $!) in # the background for $HEADER_MAXSLEEP # seconds. !=0: killed
![Page 22: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/22.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
4. Gefahr, Gefahr
![Page 23: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/23.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Risk, what ??→ Threat Modeling
4. Gefahr, Gefahr
![Page 24: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/24.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
„Qualys is all well and good for public servers on port 443, but that’s all it’ll scan. For anything internal only, or servicesother than HTTPS, it’ll give you a nice fat error. That’s where testssl.sh comes in. testssl.sh is a bash shell script that uses openssl and socket interfaces to test any SSL or TLS connection. [..] The only thing lef is to make it nice and simple so the service desk can run it. [..]That’s where aha comes in. Aha (or the ANSI HTML Adapter) takes terminal output with ANSI colour and formatting codes,“ and turns it into nice neat HTML for your browser.“
https://www.jacobmansfield.co.uk/p/2015/04/28/testing-for-ssl-vulnerabilities/
4. Gefahr, Gefahr
![Page 25: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/25.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Nachtigall, ick hör dir ...
„PHP to the rescue! we can use shell_exec() to run the Script! But hold on, that’s rather dangerous, I hear you say. Well, you’re right. That could allow any command to be run on my server.“
Folgende Zeichen wird ein Backslash vorangestellt: #&;`|*?~<>^()[]{}$\ \x0A und \xFF. ' und " werden nur maskiert, wenn sie nicht gepaart auftreten.
https://www.jacobmansfield.co.uk/p/2015/04/28/testing-for-ssl-vulnerabilities/
4. Gefahr, Gefahr
![Page 26: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/26.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Mehr? Threat Modeling:
Web Command Injection → Idee
4. Gefahr, Gefahr
![Page 27: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/27.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
4. Gefahr, Gefahr
![Page 28: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/28.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Es wird langsam kompliziert...
5. Bugs ähm Features
![Page 29: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/29.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
OpenLiteSpeed SSLv2: disabled by default Antwortet trotzdem
Problem1: Plaintext Problem2: Es gibt keinen RFC-Handshake in SSLv2
IIS 6.0 Support ist ausgelaufen
(Für einige wohl egal) OpenSSL 1.0.2: Handshake failure
● handshake-size limit, OpenSSL 1.0.2 hat mehr Cipher
→ Demo
→ Demo
5. Bugs ähm Features
![Page 30: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/30.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Cisco ACE Loadbalancer Client Hello mit >128 Cipher Again: Handshake Limit
F5 SSL Offload Engine (Web Acc) Header Request stalled
→ Demo
→ Demo
5. Bugs ähm Features
![Page 31: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/31.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
„Lustiger“ Debian/Ubuntu Bug
Sonst: Debian Wheezy, Ubuntu 15.04
6. Zusammenfassung
![Page 32: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/32.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Projekt testssl.sh ist „kicking and alive“ Es gibt Releases! Letztes: 2.6, contributions++
Proxy TLS_FALLBACK_SCSV Peter Mosmans OpenSSL fork
6. Zusammenfassung
![Page 33: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/33.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Herausforderungen Verwundbarkeiten: Am Ball bleiben
Erwartungen: wird weniger Kaputte Handshakes Testplattformen!
Plattform-Kompatibilität Serverseite
6. Zusammenfassung
![Page 34: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/34.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
So what's new (2.7dev) Überprüfen der Trust Chain
Mozilla / Microsof / JDK 1.8 / Linux ca-bundle.crt
support Wie, erst jetzt ?? OpenSSL constraints, don't get me started...
6. Zusammenfassung
![Page 35: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/35.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Zukunf Features targeted for 2.8:
github.com/drwetter/testssl.sh/milestones/2.7dev%20(2.8)%20 Mehr Sockets
● TLS 1.2: extensions● Disabled ciphers
CN Hostname Validierung EC Kurven Maschinenlesbarer Output
● JSON● HTML: gibt's bereits über „aha“
Rating!
7. Ausblick
![Page 36: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/36.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Zukunf, cont'd Interne Verbesserungen
Codequalität ;-)● shellcheck
Dokumentation
7. Ausblick
![Page 37: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/37.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Bestellung auf Webseite: Beste Verschlüsselung
![Page 38: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/38.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Bestätigungsmail Mit allen zuvor eingegebenen Daten
![Page 39: Von einem, der auszog seinen eigenen SSL/TLS-Checker zu … · 2020-01-17 · eigenen SSL/TLS-Checker zu schreiben Dirk Wetter Von einem, der auszog seinen eigenen SSL/TLS-Checker](https://reader034.vdocuments.site/reader034/viewer/2022043014/5fb2e9fd01622520ca5e03e7/html5/thumbnails/39.jpg)
OWASP-Stammtisch Hamburg 6.10. 2015, © Dirk Wetter, see 1st slide
Danke!
https://testssl.sh/ dirk aet testssl.sh
dirk aet owasp.org
@drwetter