Kali Linux 2021.1でSSLyzeを使用しWebサイトのSSL構成を分析する
スポンサーリンク
Kali Linux 2021.1でSSLyzeを使用しWebサイトのSSL構成を分析してみます。
SSLyzeとは、高速で強力なSSL/TLSスキャンライブラリです。このライブラリは、Webサーバーに接続し、SSL/TLSの設定を分析し、様々な問題(不正な証明書、Heartbleed、ROBOT、TLS 1.3のサポートなど)を検出することができます。つまり、WebサイトのSSL設定ミスを発見することができます。
なお、SSLyzeは、KaliLinuxにプリインストール(標準でインストール)されています。
今回は、あくまでサイバーセキュリティの実験&検証が目的ですので、悪用が目的ではありません。
■PC環境
Windows 10 Pro
VirtualBox6.1
Kali Linux 2021.1(Debian (64-bit))
■Kali Linuxを起動する
クリックすると、Kali Linuxが起動します。起動後、ログイン画面が表示されますのでユーザIDとパスワードを入力し「Log in」ボタンをクリックします。
クリックすると、Kali Linuxにログインすることができました。
ログイン後、上部メニューになる「ターミナルエミュレーター」をクリックし、ターミナルを起動します。
$sudo su
起動後、上記のコマンドを入力し、Enterキーを押します。スーパーユーザ(root)権限に切り替えます。
■SSLyzeを使用する
#sslyze -h
切り替えた後に、上記のコマンドを入力し、Enterキーを押します。KaliLinuxにプリインストールされていることを確認してみます。そのために、ヘルプを表示してみます。
Enterキーを押すと、SSLyzeのヘルプが表示されました。SSLyzeがインストールされていることが確認できました。
■WebサイトのSSL構成を分析するためにスキャンを行う
#sslyze --regular laboratory.kazuuu.net
確認後、上記のコマンドを入力し、Enterキーを押します。今回は当サイト(laboratory.kazuuu.net)を指定し、スキャンを行います。
Enterキーを押すと、WebサイトのSSL構成を分析するためにスキャンが開始されます。「CHECKING HOST(S) AVAILABILITY(ホストの空き状況の確認)」が表示され、しばらくすると「SCAN RESULTS FOR ○○(Webサイトのドメイン名)(スキャン結果)」が表示されます。
今回わかったことは、サブドメインでもSSL構成の分析ができるということ。新しく制作したWebサイトでSSL設定を行った際に、ミスがないかチェックするのに、SSLyzeは使えます。