как узнать какой ssl сертификат установлен на сайте
10 онлайн-инструментов для проверки SSL, TLS и последних уязвимостей
Привет! В последнее время было обнаружено довольно много уязвимостей, связанных с SSL, поэтому мне захотелось сделать перевод статьи, в которой собран список инструментов для тестирования SSL, TLS и различных уязвимостей. В статье довольно много терминов, поэтому хочу извиниться, если что-то перевела не совсем корректно. Если вы можете предложить лучший вариант перевода, пожалуйста, напишите в личные сообщения.
Проверяйте SSL, TLS и шифрование
Проверка SSL необходима для обеспечения правильного отображения параметров сертификата. Существует множество способов проверки SSL-сертификатов. Проверка с помощью инструментов в сети позволяет получить полезную информацию, находящуюся ниже. Она также поможет вам выявить угрозы на ранних стадиях, а не после получения жалобы клиента.
Я получил ряд вопросов после своей последней публикации «Усиление защиты Apache. Гид по безопасности» о проверке TLS и SSL. В этой статье я расскажу вам о некоторых полезных инструментах для проверки SSL-сертификатов в сети.
Symantec SSL Toolbox
Проверка CSR — очень важно проверить CSR перед отправкой для подписи запроса. Вы сможете удостовериться в том, что CSR содержит все требуемые параметры, например, CN, DN, O, OU, алгоритм и др.
Проверка установки сертификата — после установки всегда полезно удостовериться в том, что сертификат действителен и содержит необходимую информацию. Этот онлайн инструмент позволит вам проверить CN, SAN, название организации, OU, город, серийный номер, тип применяемого алгоритма, длину ключа и подробности о цепочке сертификата.
Wormly Web Server Tester
Тестирование web сервера от Wormly позволяет получить подробный обзор параметров ссылки. Обзор включает в себя данные о сертификате (CN, срок действия, цепочка сертификата), шифровании, длине открытого ключа, безопасности повторного согласования, протоколах типа SSLv3/v2, TLSv1/1.2.
DigiCert SSL Certificate Checker
Инструмент для проверки установки SSL сертификатов от DigiCert — еще один прекрасный инструмент, который позволит вам преобразовать DNS в IP адрес, узнать кто выдал сертификат, его серийный номер, длину ключа, алгоритм подписи, SSL-шифрование, поддерживаемое сервером и срок действия сертификата.
SSL Shopper
Проверка SSL от SSL Shopper — подойдет для быстрой проверки типа сервера, срока действия, SAN и цепочки доверия. Вы сможете оперативно найти ошибку в цепочке сертификата или узнать, что он не работает должным образом. Инструмент отлично подходит для устранения неполадок в работе.
GlobalSign SSL Check
Проверка конфигурации SSL от GlobalSign предоставляет очень подробную информацию о веб-сервере и SSL. Инструмент ставит баллы в зависимости от данных сертификата, поддержки протоколов, обмена ключами и надёжности шифра. Это незаменимый инструмент при настройке нового безопасного URL или проведении аудита. Обязательно попробуйте!
Qualys SSL Labs
Позволяет оценить ваш сайт в отношении безопасности SSL-сертификата. Предоставляет очень подробную техническую информацию. Советую системным администраторам, аудиторам, инженерам по интернет-безопасности для выявления и наладки “слабых” параметров.
Free SSL Server Test
Производит проверку вашей https ссылки и отображает следующую информацию, которую при желании можно скачать в PDF-формате:
COMODO SSL Analyzer
SSL анализатор от COMODO позволяет провести анализ https URL и быстро получить отчеты по различным параметрам, включая
SSL Checker
Что действительно хорошо в SSL Checker, так это то, что инструмент позволяет настроить напоминание (за 30 дней) об истечении срока действия сертификата. Это отлично, мне кажется, что бесплатно эту услугу больше нигде получить нельзя. Кроме того, инструмент позволяет выполнить базовую проверку таких параметров, как:
HowsMySSL
Этот инструмент отличается от остальных. Он позволяет проверить клиента (браузер) и получить оценку состояния по следующим параметрам:
Другие инструменты онлайн-проверки
Проверка уязвимости POODLE:
P. S. Приглашаем в наше Хостинг Кафе. Работают и активно развиваются 6 сайтов для поиска хостинговых услуг:
Проверить SSL сертификат сайта
Бесплатный сервис для проверки HTTPS-протокола онлайн поможет найти проблемы с установкой SSL сертификата на вашем сайте и убедиться, что он установлен правильно. Вставьте URL сайта в поле и нажмите «Проверить». Через несколько секунд сервис покажет информацию о вашем SSL-сертификате: дату выпуска и окончания.
Для чего нужен SSL-сертификат?
SSL-сертификат — это цифровая подпись сайта, необходимая для того, чтобы работал протокол защищенной передачи данных через интернет. По сути, это набор файлов, которые установлены на сервер. Информация, передающаяся между сайтом и пользователем шифруется таким образом, что провайдер или администратор Wi-Fi сети, через которую подключается пользователь, не могут получить доступ к данным.
Сертификат содержит следующую информацию:
Если проблем с SSL нет, между браузером пользователя и сервером устанавливается безопасное соединение по HTTPS-протоколу. Сертификат не защищает сайт от взлома, но не дает перехватить информацию, которую пользователь оставляет на сайте — логин и пароль, данные банковской карты, адрес для доставки и другие.
Зачем проверять SSL-сертификат?
Регулярная проверка SSL нужна, чтобы убедиться, что ваш сайт доступен пользователям и не блокируется браузером или антивирусом.
Наличие сертификата влияет на продвижение в поисковых сетях. Например, Google понижает незащищенные сайты в выдаче, так что можно считать, что это один из факторов ранжирования. Браузер Chrome в случае попадание на сайт без SSL сообщает, что сайт небезопасен, это может отпугнуть пользователей. Соответственно, если вы не установите или не обновите вовремя свой сертификат, трафик сайта может упасть и доверие пользователей снизится.
Какие самые частые ошибки?
Ошибка в установке сертификата
Возможно, не хватает корневого сертификата или допущены другие ошибки при установке. О том, как перейти на HTTPS, читайте в нашей статье.
Неправильно указанное время на устройстве
Если на устройстве, с которого пользователь заходит на сайт, дата и время выставлены неправильно, браузер может выдать ошибку, посчитав сертификат просроченным. Нужно настроить верные дату и время.
На сайте установлен SSL-сертификат, но браузер сообщает, что к нему нет доверия
Как правило, браузеры имеют список доверенных производителей сертификатов. В этом списке есть не все поставщики, поэтому браузер может усомниться в качестве вашего сертификата.
У вас установлен самоподписанный сертификат
Самоподписанные сертификаты бесплатно генерируются самими серверами, а не выдаются в компаниях-поставщиках сертификатов. Само по себе это не ошибка, но сработает только в случае, если пользователи знают, что на сайте установлен именно такой сертификат и подтвердили его в браузере. Остальные пользователи увидят ошибку и могут передумать заходить на сайт.
Антивирус блокирует сайт
Антивирусная программа может посчитать сайт опасным. Если вы доверяете сайту, добавьте его в список исключений антивируса.
Как выполнить проверку SSL-сертификата
Проверить SSL-сертификат — значит убедиться, что он установлен правильно и сайт работает по защищённому протоколу HTTPS.
Чаще всего проверка нужна, если:
Ниже мы расскажем, как проверить сертификат SSL и опишем основные ошибки, на которые стоит обратить внимание. Инструкции также подойдут для проверки защищённого TLS-соединения.
Проверка SSL-сертификата онлайн
SSL Shopper (Checker)
SSL Shopper — англоязычный инструмент, который быстро анализирует и определяет, можно ли доверять веб-ресурсу. Также в этом сервисе вы сможете узнать IP-адрес и тип сервера. Shopper — простой и понятный сервис анализа.
Как пользоваться Shopper
Введите домен или URL и нажмите Check:
В первую очередь обратите внимание на дату установки сертификата — он не должен быть просрочен. Так выглядит результат проверки защищённого сайта, на котором правильно установлен SSL:
Если в результатах проверки вы видите два восклицательных знака в строках «expired» и два крестика ниже, значит срок действия сертификата закончился:
Результат ниже означает, что установлен сертификат, который был выдан для другого домена:
Также checker может показать, что установлен самоподписанный ssl-сертификат. самоподписанные сертификаты не являются доверенными (выданными аккредитованным центром сертификации), а значит такому ресурсу доверять нельзя:
А такой результат выдачи означает, что цепочка SSL добавлена некорректно и вам нужно заново выполнить этот этап установки:
Wormly (Web Server Tester)
Wormly — популярный англоязычный инструмент для проверки защиты сайтов. Wormly проводит глубокий анализ и выдаёт информацию о настройках безопасности, параметрах производительности и шифрах сайта.
Как пользоваться Wormly
Введите URL и кликните START TEST:
Результат будет показан на вкладке «Certificate Overview» (Обзор). Обратите внимание на графу «Expires» — в ней указана дата окончания действия сертификата:
Если сервис выявит, что сайту нельзя доверять, вы увидите приблизительно такой результат:
Если вы хотите получить более детальный анализ сайта, изучите вкладки «Security» (Безопасность), «Performance» (Производительность) и «Encryption Ciphers» (Шифрование).
ImmuniWeb
ImmuniWeb — надёжный англоязычный инструмент для проверки SSL-сертификата. С его помощью вы также можете анализировать производительность сайта, настройки безопасности и шифрования.
Как пользоваться ImmuniWeb
Введите домен или URL и кликните на иконку Play:
Пролистайте страницу вниз до вкладки «Certificate Analysis» (Анализ). Обратите внимание на графы «Valid Frоm» и «Valid To» — напротив них указаны дата выдачи и срок окончания действия SSL:
Если срок действия закончился, вы увидите примерно такой результат:
Также вы можете изучить другие показатели эффективности интернет-ресурса, просмотрев содержимое остальных вкладок.
Теперь вы знаете, как проверить HTTPS сайта и какие онлайн-сервисы лучше для этого использовать.
Сертификаты SSL и TLS: предназначение, отличия и проверка
Когда мы используем интернет для поиска информации, покупки вещей или бронирования билетов на самолет, мы никогда не задумываемся о безопасности сайта и защите своих данных. Да и зачем это, если перед глазами популярный сервис, который давно себя зарекомендовал.
Другое дело, когда спустя сотню запросов мы находим нужную вещь для покупки, но она расположена на сомнительном ресурсе. И тут уже возникает вопрос: «А не будет ли мне это стоить всего моего состояния?». Давайте разберемся, как уберечь себя от потери личных данных и проверить сайт на наличие SSL и TLS сертификатов.
Сертификаты SSL и TLS: зачем они нужны
Продолжим разбор ситуации с покупкой чего-либо через интернет: представим себе, что мы собрались полететь на солнечное Бали из Москвы. Мы нашли сайт, который не представляет собой ничего подозрительного, и поэтому спокойно вводим на нем все необходимые данные и бронируем билеты на самолет.
В то время, когда на сайте совершается оплата за выбранные билеты, начинают срабатывать сертификаты защиты. Их еще называют SSL и TLS, но они представляют собой развитие одной технологии.
SSL расшифровывается как Secure Socket Layer, что означает «уровень защищенных сокетов». TLS же обозначается как Transport Layer Security, «безопасность транспортного уровня». По своей сути обе технологии занимаются одним делом – защитой пользовательской информации от злоумышленников.
Их отличие состоит лишь только в том, что TLS основан на уже действующей спецификации SSL 3.0. А сам SSL уже давно устарел, разработчики редко его используют как единственную защиту. Чаще всего можно увидеть связку двух сертификатов SSL/TLS. Такая поддержка обеспечивает работу как с новыми, так и со старыми устройствами.
Использование такой защиты можно встретить в различных ситуациях: при передаче сообщений, отправке личных данных, транзакциях и т.д.
Специфика работы сертификатов SSL/TLS
Вернемся к ситуации с покупкой билетов на сайте. Как мы выяснили, при отправке личных данных начинают действовать сертификаты. Но что происходит, если защита не производится должным путем?
Без подключения SSL/TLS контакт между пользователем и веб-сайтом происходит через канал HTTP. А это означает, что вся передаваемая информация находится в открытом виде: доступ к данным лежит на поверхности. То есть, когда происходит связь между пользователем и сайтом, например, при оплате билетов на самолет, вся информация, включая паспортные данные, может быть получена злоумышленником. Такое происходит, если на сайте не используются сертификаты защиты.
При подключении SSL/TLS, пользователь устанавливает соединение с веб-сервером HTTPS, который защищает все конфиденциальные данные при передаче. Кроме того, срабатывает привязка криптографического ключа к передаваемой информации и выполняется шифровка данных, которую никто не сможет перехватить.
SSL/TLS используют ассиметричное шифрование для аутентификации пользователя и симметричное для сохранения целостности личной информации.
Как проверить сертификаты SSL/TLS
Мы рассмотрим 5 наиболее популярных онлайн-инструментов для обнаружения слабых мест веб-сайта. Что ж, давайте приступим.
SeoLik
Начнем с отечественного онлайн-сервиса, который позиционирует себя как инструмент для проверки надежности сайта. Помимо основной задачи здесь также можно выполнить сканирование портов, узнать свой IP-адрес и произвести другие действия с сайтом.
Проверяем наличие HTTPS соединения:
Использование данного сервиса поможет проверить сайт всего за несколько минут и уберечь от потери личной информации. В данном случае мы можем быть спокойны, сертификат действителен еще 322 дня.
SSL Shopper
По сравнению с предыдущим сервисом, данный инструмент не столь функционален и поддерживает только англоязычную версию. Давайте посмотрим, как он работает:
Wormly Web Server Tester
Один из самых популярных инструментов для проверки сайтов, который помогает не только узнать о наличии SSL/TLS, но и дает возможность просмотреть данные о шифровании, различные протоколы и многое другое. Работает это следующим образом:
Данный сервис позволяет просматривать шифры сертификатов, что может быть полезно для веб-разработчиков.
Immuni Web
Это многофункциональный гигант, который анализирует поддержку протоколов, проверяет на совместимость PCI DSS и делает много всего, что недоступно в предыдущих инструментах. Конечно, здесь можно проверить и сайт на безопасность.
При необходимости можно сохранить все результаты в формате PDF. Для этого следует кликнуть по кнопке «Download report».
SSL Checker
Незаменимый инструмент для разработчиков. Особенностью данного сервиса является то, что в нем можно активировать уведомления, которые будут оповещать об истечении срока действия сертификата.
На этом моя статья подходит к концу. Теперь вы знаете, как можно проверить SSL и TLS сертификаты на сайте. Спасибо за внимание!
Про установку SSL-сертификатов вы можете почитать тут и тут.
SSL-сертификаты: что это такое и как правильно выбрать
Последнее время SSL-технологии вызывают большой интерес, их доля в доменных зонах растет. Несмотря на популярность, многие не понимают, что это такое. Мы расскажем, что называют SSL-сертификатами, зачем они нужны и как их выбирать.
[spoiler]
Для чего нужен SSL-сертификат
SSL-сертификат — это своеобразное «удостоверение» сайта, подтверждающее его безопасность для пользователей. На сайте с SSL-сертификатом пользователи могут совершать покупки и вводить пароли, не опасаясь, что их данные перехватят злоумышленники. Сам сертификат представляет собой набор файлов, установленных на сервер.
Как узнать, установлен ли на сайте SSL-сертификат
Замок или зеленая строка рядом с доменным именем в браузерной строке означают, что на сайте установлен SSL-сертификат и вся информация передается по защищенному протоколу, значит, никто не украдет ваши пароли и другую конфиденциальную информацию.
Как работает технология SSL
Подробнее остановимся на том, зачем используют сертификаты, и какие задачи они выполняют.
Рассмотрим на примере функции SSL-сертификатов
SSL-сертификат действует в течение ограниченного времени, кроме того, чтобы его получить, нужно заплатить определенную сумму. Поэтому многие выбирают самоподписанные сертификаты, которые можно бесплатно сгенерировать на веб-сервере, воспользовавшись панелью управления. Однако такая экономия не всегда целесообразна.
Все браузеры проверяют, был ли сертификат выдан специальным центром. Если нет (как в случае с самоподписанным сертификатом), на экране появится надпись: «Сертификат безопасности сайта не является доверенным!».
У доступных DV-сертификатов скромные возможности: они просто проверяют принадлежность домена владельцу сертификата. Domain Validation подходит для небольших сайтов, блогов со средним количеством посетителей и форумов.
DV-сертификат можно получить без предоставления дополнительных документов. Их выпускают в течение 5-10 минут, а стоимость сертификата колеблется от 1000 до 4000 рублей. Domain Validation доступен и физическим, и юридическим лицам и обеспечивает начальный уровень защиты.
OV-сертификат – это обеспечение среднего уровня защиты. Сертификат доступен только для юрлиц, его выпускают в срок до 5 дней. Годовая стоимость сертификата — 4000-50000 рублей. Для получения OV-сертификата потребуются копии документов и номер телефона собственника организации и телефонной компании, где указано название фирмы.
Получить такой сертификат можно только при предъявлении ряда документов: уведомления о регистрации юрлица, извещения о регистрации в качестве страхователя и т.д.
Выбирая SSL-сертификат, учитывайте возможности своего бюджета и специфику вашего бизнеса. Используйте опыт своих партнеров и конкурентов, изучите крупные известные сайты. Например, WildBerries.ru пользуется SGC OV SSL Wildcard с максимальным уровнем защиты, а Tinkoff.ru — EV SSL от Thawte.
Тщательно проверяйте название организации: киберпреступники могут создать «липовую» фирму со схожим названием, привязав к ней сертификат.
Отметим, что сегодня владельцы сайтов часто покупают SSL-сертификаты у хостинг-провайдеров.. Благодаря большим объемам продаж, стоимость сертификатов часто оказывается ниже стоимости продукта от прямого поставщика.
Важно: поддержка IDN предусмотрена не во всех сертификатах. Может случиться так, что сертификат с безупречным сочетанием цены, качества и функционала не подойдет для кириллического домена. Чтобы не ошибиться с выбором, приобретайте сертификаты с поддержкой IDN у GlobalSign, Thawte, Comodo или Symantec.
Хранение закрытого ключа тоже связано с некоторыми трудностями. Его не получится изолировать от всего мира: секретный ключ часто используется при https-соединении. Из-за этого есть риск взлома сервера с целью получения закрытого ключа. Здесь опять доминирует человеческий фактор: если происходит взлом, то в этом, вероятнее всего, виноват администратор, который не защитил сервер. Чтобы обезопасить закрытые ключи, их владельцы устанавливают пароли.
Несколько рекомендаций о том, как выбрать SSL-сертификат. Учитывайте опыт конкурентов. Обратите внимание, какими сертификатами пользуются компании с аналогичной продукцией, охватом аудитории и способом обмена данными с пользователями.
Не забывайте, что сайты с https ранжируются Google выше, чем другие. Сайты без сертификатов, которые принимают номера и пароли банковских карт, определяются Google Chrome как небезопасные. Это еще один веский довод в пользу приобретения SSL-сертификата. Сегодня https-соединение доступнее для пользователей, чем еще несколько лет назад. Некоторые компании проводят выгодные акции и иногда дарят сертификаты в качестве бонуса.
Напоминаем, что на линейку готовых решений INTEC: Universe действуют скидки:
Хотите быть в курсе всех наших обновлений? Тогда подпишитесь на нас в соцсетях!