915 792 426 - 689 888 537

Blog

ACTUALIDAD
Aprende a como comprobar un certificado electrónico
23 Jun 2017

Como comprobar certificados electrónicos

Hoy vamos a ver diferentes formas y herramientas para que aprendas como comprobar certificados electrónicos.

Una parte importante en las auditorias de seguridad es la revisión de los certificados. Desde que se encuentren correctamente expedidos hasta que se encuentren generados con algoritmos seguros. Si no sabes como comprobar certificados electrónicos, nosotros te enseñamos a hacerlo a continuación.

Siempre podemos hacer una primera aproximación visual con el mismo navegador y comprobar entre otros detalles que la fecha de expiración, nombres, cadena de certificación y todos los datos son los correctos. Esta forma es la más fácil si no sabes como comprobar certificados electrónicos.

Como comprobar un certificado electrónico con el navegador

Después podemos ir profundizando con herramientas más específicas e ir comprobando cada detalle del certificado.

OPENSSL

La primera que vamos a ver es la suite openssl, con la que además de generar certificados podemos comprobar los diferentes atributos.

Por ejemplo, con el siguiente comando extraemos toda la información del certificado:

openssl s_client -showcerts -connect servidor.es:443

Como comprobar un certificado electrónico con openssl

 

Podemos filtrar cada detalle del certificado que no interese, como la fecha de expiración:

echo | openssl s_client -servername servidor.es -connect servidor.es:443 2>/dev/null | openssl x509 -noout -dates

Como comprobar un certificado electrónico con openssl

 

Extraer los diferentes campos del certificado, por ejemplo, el fingerprint:

echo | openssl s_client -servername thesecuritysentinel.es -connect thesecuritysentinel.es:443 2>/dev/null | openssl x509 -noout -fingerprint

Como comprobar un certificado electrónico con openssl

Comprobar si es vulnerable a Heartbleed.

echo "QUIT"|openssl s_client -connect servidor.es:443 2>&1|grep 'server extension "heartbeat" (id=15)' || echo NOT VULNERABLE!

Como comprobar un certificado electrónico con openssl heartbleed

NMAP

Nmap, una de nuestras herramientas favoritas también dispone de varios scripts útiles a la hora de auditar los cifrados de los servicios.

Con este script listamos todos los algoritmos soportados:

nmap --script ssl-enum-ciphers servidor.es

Como comprobar un certificado electrónico con nmap

 

Además, nmap dispone de varios scripts para comprobar vulnerabilidades específicas como Poodle, Heartbleed o Drown.

nmap --script ssl-poodle servidor.es
 nmap --script ssl-heartbleed servidor.es
 nmap --script sslv2-drown servidor.es

 

Ahora vamos a ver varias herramientas que realizan todos los test y nos marcan aquellas configuraciones que pueden suponer un problema de seguridad.

SSLSCAN

Sslscan es una herramienta escrita en C que realiza varios tests y nos marca con códigos de colores cada prueba realizada y su resultado.

sslscan servidor.es

Como comprobar un certificado electrónico con sslscan

 

A2SV

A2SV un script escrito en Python que comprueba todas las vulnerabilidades comunes sobre los certificados y muestra una tabla resumen de los resultados de cada vulnerabilidad.

a2sv -t servidor.es -p 443

Como comprobar certificado digital con a2sv

A2SV comprueba las siguientes vulnerabilidades: Anonymous Cipher, CRIME, CCS Injection, HeartBleed, POODLE, FREAK, LOGJAM y DROWN.

Como comprobar un certificado electrónico con a2sv

TESTSSL

Testssl.sh es un Shell script que también realiza multitud de pruebas sobre los certificados y muestra todos los detalles de estas además de resaltar aquellos puntos que merecen nuestra atención.

Este script es de mucha ayuda porque la salida ofrece mucho detalle de la información obtenida.

testssl.sh server.es

Como comprobar un certificado electrónico con testssl.sh

Como comprobar un certificado electrónico con testssl.sh

Hasta aquí un breve resumen de las herramientas que podéis utilizar para auditar vuestros servicios SSL, si conocéis alguna más o tenéis otras favoritas no dejéis de mencionarlas en los comentarios.
Si quieres aprender más técnicas útiles en ciberseguriad e informática siempre puedes visitar nuestro blog también podemos ofrecerte nuestros servicios como auditores y consultores.