Kali Linux 2021.1でSSLyzeを使用しWebサイトのSSL構成を分析してみます。

SSLyzeとは、高速で強力なSSL/TLSスキャンライブラリです。このライブラリは、Webサーバーに接続し、SSL/TLSの設定を分析し、様々な問題（不正な証明書、Heartbleed、ROBOT、TLS 1.3のサポートなど）を検出することができます。つまり、WebサイトのSSL設定ミスを発見することができます。

なお、SSLyzeは、KaliLinuxにプリインストール（標準でインストール）されています。

今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。

■PC環境

Windows 10 Pro

VirtualBox6.1

Kali Linux 2021.1（Debian (64-bit)）

■Kali Linuxを起動する

クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。

クリックすると、Kali Linuxにログインすることができました。

ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。

$sudo su

起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ（root）権限に切り替えます。

■SSLyzeを使用する

#sslyze -h

切り替えた後に、上記のコマンドを入力し、Enterキーを押します。KaliLinuxにプリインストールされていることを確認してみます。そのために、ヘルプを表示してみます。

Enterキーを押すと、SSLyzeのヘルプが表示されました。SSLyzeがインストールされていることが確認できました。

■WebサイトのSSL構成を分析するためにスキャンを行う

#sslyze --regular laboratory.kazuuu.net

確認後、上記のコマンドを入力し、Enterキーを押します。今回は当サイト（laboratory.kazuuu.net）を指定し、スキャンを行います。

Enterキーを押すと、WebサイトのSSL構成を分析するためにスキャンが開始されます。「CHECKING HOST(S) AVAILABILITY（ホストの空き状況の確認）」が表示され、しばらくすると「SCAN RESULTS FOR ○○（Webサイトのドメイン名）（スキャン結果）」が表示されます。

スキャン結果でSSL/TLSの設定状況などが表示されます。

今回わかったことは、サブドメインでもSSL構成の分析ができるということ。新しく制作したWebサイトでSSL設定を行った際に、ミスがないかチェックするのに、SSLyzeは使えます。