Évaluation de la Sécurité SSL/TLS

Ce que cela fait

Cette compétence fournit une procédure pratique pour évaluer la sécurité des serveurs SSL/TLS à l'aide de la bibliothèque Python sslyze. Elle décrit comment énumérer les versions de protocoles supportées, évaluer la force et l'ordre des suites de chiffrement, valider les chaînes de certificats et la couverture SAN, vérifier le HSTS et le stapling OCSP, et exécuter des vérifications de vulnérabilités ciblées (Heartbleed, ROBOT, renégociation de session). Le guide couvre le scan de services TLS non-443 et explique le SNI, le STARTTLS et comment corroborer les résultats avec testssl.sh ou des handshakes openssl manuels.

Quand l'utiliser

Utilisez cette compétence lors de tests d'intrusion, de réponses aux incidents, d'audits de sécurité planifiés ou lors de la validation de changements de configuration TLS. Elle est appropriée lorsque vous avez besoin d'une preuve définitive (succès du handshake) pour des protocoles ou des chiffrements faibles, ou lors de l'audit de multiples services supportant le TLS (HTTPS, SMTP STARTTLS, IMAP, FTPS, points de terminaison TLS de bases de données).

Ce qui est inclus

• Scripts : aucun script inclus dans le cliché du dépôt, mais des étapes procédurales et des exemples de commandes sont présents dans le corps de la compétence
• Références : aucun fichier frère inclus, mais le corps de la compétence référence sslyze, testssl.sh et les modèles d'utilisation d'openssl
• Instructions : flux de scan étape par étape : configurer ServerScanRequest, mettre en file d'attente et exécuter les vérifications sslyze, analyser les chiffrements acceptés et la chaîne de certificats, et produire un rapport de sécurité JSON avec des recommandations de remédiation.

Agents compatibles

Compatibilité déduite : agents capables d'utiliser la CLI et assistants axés sur le code pouvant exécuter des outils Python (sslyze), tels que les agents de type Copilot/Codex ou Claude-Code supportant l'exécution de commandes shell et de scripts Python.