SSLyze

SSLyze ist ein leistungsstarkes Tool zur Analyse der SSL/TLS-Konfiguration eines Servers. Es prüft unterstützte Protokolle, Zertifikatsdaten, Cipher Suites und Schwachstellen wie Heartbleed, Renegotiation oder TLS-Kompression.

Erklärung

• Analysiert, welche TLS-Versionen und Cipher Suites unterstützt werden
• Überprüft Zertifikatgültigkeit und Konfiguration
• Erkennt bekannte Schwächen (z. B. SSLv3, RC4, EXPORT-Cipher)
• Unterstützt auch StartTLS (SMTP, IMAP, FTP)
• Kann JSON- oder XML-Ausgabe für automatisierte Weiterverarbeitung erzeugen

Installation

• apt install sslyze

Anwendung

Standardanalyse

• sslyze --regular opfer.secure.local:443

Nur unterstützte Protokolle anzeigen

• sslyze --tlsv1_2 --tlsv1_3 opfer.secure.local:443

Zertifikatsinformationen anzeigen

• sslyze --certinfo opfer.secure.local:443

STARTTLS prüfen (z. B. SMTP)

• sslyze --starttls=smtp opfer.secure.local:25

Parameter

• --regular = Führt empfohlene Tests aus (Cipher Suites, Protokolle, Zertifikat, Schwächen)
• --certinfo = Zeigt Informationen zum Zertifikat (Issuer, Ablaufdatum, etc.)
• --starttls=<protokoll> = Testet StartTLS (smtp, imap, ftp)
• --tlsv1, --tlsv1_1, --tlsv1_2, --tlsv1_3 = Einzelne Protokolle testen
• --json_out=output.json = JSON-Export
• --xml_out=output.xml = XML-Export

Typische Ausgabe

• Zertifikat gültig bis 2025-12-31, von Let's Encrypt
• Unterstützte Protokolle: TLSv1.2, TLSv1.3
• Cipher Suites: ECDHE-RSA-AES256-GCM-SHA384, ...
• Schwachstellen: Kein Heartbleed, keine SSLv3-Unterstützung

Grenzen

• Kein Schwachstellenscan im Sinne von CVE-Zuordnung
• Testet nicht auf Anwendungslogik, nur TLS-Ebene
• Auf Systemen mit schwacher Internetverbindung langsamer

Alternativen und Ergänzungen

• testssl.sh – Ähnliche Funktionalität in Bash, ausführlicher
• Nmap --script ssl-* – Mit NSE-Skripten spezifische Prüfungen möglich
• OpenVAS oder Nessus – Für TLS-Prüfung im Rahmen kompletter Scans