Merhaba, bu yazıda open source bir tool olan testssl.sh kullanarak, bir uygulama ya da website’ın SSL/TLS durumunu kontrol ediyor olacağız. İlk olarak SSL ve TLS nedir kısaca bir bakalım.

SSL (Secure Socket Layer) Nedir?

SSL, client (web browser) ile web server arasında şifreli bağlantı oluşturan bir güvenlik çözümüdür. Çoğu web tarayıcısının desteklediği HTTPS bağlantı protokolünü kullanarak çalışır.

TLS (Transport Layer Security) Nedir?

TLS, SSL gibi aynı mantıkta çalışır, fakat SSL’den güvenlik anlamında daha gelişmiş bir protokoldür. SSL’in yayınlanan sürümlerinde ortaya çıkan güvenlik açıkları, TLS’in doğmasına sebebiyet vermiştir.

Uygulama Üzerinde SSL/TLS Kontrolü Sağlama

İlk önce bir uygulama üzerinde kontrol sağlayalım. Örnek olarak RabbitMQ uygulamasını seçtim.

İlk olarak tool’umuzu local’e ya da server üzerine clone’layalım.

Daha sonra clone aldığımız projenin dizinine geçelim.

Aşağıdaki komut ile uygulamamızın hangi SSL/TLS protokollerini desteklediğini görelim.

Örnek olarak benim girdiğim komut ve çıktısı aşağıdaki gibidir.

RabbitMQ‘nun TLS portunu 5671 olarak ayarlayıp, sadece TLS1.2 ile gelenler connection kursun diye set etmiştim. Görüldüğü gibi TLS1.2 hariç diğer tüm protokoller not offered almakta.

WebSite Üzerinde SSL/TLS Kontrolü Sağlama

Örnek olarak nurigundogan.net üzerinde kontrol sağlayalım.

nurigundogan.net özelinde ise sadece TLS1.2 ve TLS1.3 protokollerinin aktif olduğunu görüyoruz.

Dipnot: Komut içerisindeki “-p” parametresini kaldırarak daha detaylı (cipher suites’leri görme vs.) çıktı alabilirsiniz. Ek olarak ./testssl –help komutu ile diğer kullanabileceğiniz parametreleri de görebilirsiniz.

Bir sonraki yazıda görüşmek üzere.