Bonjour à tous, on va se faire un rapide TP aujourd’hui pour installer SSLYZE depuis les sources. En effet, je n’ai pas trouvé de doc complète sur le sujet et j’ai été obligé de grappiller des informations à droites à gauche avant d’obtenir ça. Concernant SSLYZE, je vous en ai parlé dans le dernier TP pour la mise en place d’HTTPS sur le nouveau serveur. Il s’agit d’un outil open-source qui permet de tester la configuration SSL de son site web. C’est aussi un concurrent opensource de SSL Server Test chez Qualys-SSL Labs. Pour finir, c’est développé par un français (à San Francisco, faut pas déconner): M. Alban Diquet que vous trouverez sur LinkedIn là et sur Twitter ici. Je vous laisse lire le pedigree du bonhomme.
Installer SSLYZE depuis les sources
Sans transition pour l’installation depuis les source il vous faudra :
yum install git python2 python-dev
Lib NaSSL
Avant d’installer SSLYZE, la bilbiothèque NaSSL est une dépendance obligatoire pour SSLYZE. On va donc l’installer :
git clone https://github.com/nabla-c0d3/nassl.git cd nassl python2 setup.py build_ext -i python2 sample_client.py python2 run_tests.py # OK partout <= Tout va bien cd ..
SSLYZE
On peut donc maintenant cloner le dépot de SSLYZE.
git clone https://github.com/nabla-c0d3/sslyze.git
On ajouter le dossier contenant la lib NaSSL dans le dossier SSLYSE pour que ce dernier puisse la trouver :
cp -R nassl/nassl sslyze/ cd sslyze
Test avec SSLYZE
Et enfin pour exécuter un test SSLYZE sur un site, toujours dans le dossier sslyze :
python2 -m sslyze --regular sub.domain.tld:443
Par exemple un extrait pour geekeries.org :
CHECKING HOST(S) AVAILABILITY ----------------------------- geekeries.org:443 => 163.172.221.61 [...] * Session Renegotiation: Client-initiated Renegotiation: OK - Rejected Secure Renegotiation: OK - Supported * Deflate Compression: OK - Compression disabled * SSLV3 Cipher Suites: Server rejected all cipher suites. * Session Resumption: With Session IDs: OK - Supported (5 successful, 0 failed, 0 errors, 5 total attempts). With TLS Tickets: OK - Supported * OpenSSL Heartbleed: OK - Not vulnerable to Heartbleed
[...]
Pour ce qui est de la compatibilité, SSL n’est supporté qu’avec Python2, c’est dommage pour un outil de cette trempe… Mais bon ça reste pratique pour implémenter un contrôle de conformité automatique de la conf SSL de tous les sites de votre boite. Autre aspect le script « setup.py install » ne fonctionnait pas chez moi au moment de mes tests, un peu galère pour avoir le module en dehors du bon dossier. Ca se corrige bien en lisant la doc python, voir : the-module-search-path.
Voilà, on aura fait le tour rapidement aujourd’hui. J’espère que ça vous servira.
sources
Pour info, niveau doc je me suis servi par ici, la ou encore la bas.
