Strumenti per testare Sicurezza e Headers

Una raccolta dei migliori strumenti online (gratuiti, senza registrazione salvo dove indicato) per testare la sicurezza di un sito web: certificati SSL/TLS, header HTTP, sicurezza email e standard di internet.

SSL/TLS

SSL Labs (Qualys)

Lo standard de facto per testare HTTPS: protocolli supportati, cipher suite, validità della catena di certificati, vulnerabilità note (Heartbleed, POODLE, ecc.). Restituisce un grade da A+ a F. www.ssllabs.com/ssltest/

CryptCheck

Test crittografico francese alternativo a SSL Labs, con dettagli su TLS, ciphers e certificati. Niente signup. cryptcheck.fr

Header HTTP di sicurezza

Security Headers (Scott Helme)

Verifica i security header HTTP (CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy, X-Content-Type-Options) e restituisce un grade da A+ a F con suggerimenti di miglioramento. securityheaders.com

Mozilla Observatory

Combina security header, HTTPS e TLS in un unico score globale. Più rigoroso di Security Headers: penalizza CSP con 'unsafe-inline' e premia direttive esplicite. observatory.mozilla.org

Audit completo: HTTPS + DNS + email

Hardenize

Test esaustivo di un dominio: TLS, HSTS preload, DNSSEC, CAA, SPF, DKIM, DMARC, MTA-STS. Probabilmente il tool più completo della categoria. hardenize.com

Internet.nl

Verifica conformità con gli standard aperti di internet: IPv6, DNSSEC, HTTPS moderno, sicurezza email. Promosso dal governo olandese. internet.nl

Email security (SPF/DKIM/DMARC)

MXToolbox

Lookup DNS completo: MX, SPF, DMARC, DKIM, blacklist. Indispensabile se gestisci email. mxtoolbox.com

DMARCian Domain Checker

Verifica la configurazione DMARC e suggerisce miglioramenti. dmarcian.com/domain-checker/

Certificate Transparency e DNS

crt.sh

Cerca tutti i certificati TLS mai emessi per un dominio nei log di Certificate Transparency. Utile per scoprire certificati emessi senza autorizzazione (CAA monitoring). crt.sh

DNSSEC Analyzer (Verisign)

Verifica la catena DNSSEC del tuo dominio. dnssec-debugger.verisignlabs.com

Note

Tutti gli strumenti sopra elencati sono gratuiti e senza registrazione. Alcuni offrono versioni a pagamento con funzionalità aggiuntive, ma la versione libera è sufficiente per un audit di sicurezza completo di un sito personale o di una piccola organizzazione.

Per un audit periodico consiglio di eseguire almeno SSL Labs, Security Headers e Mozilla Observatory ogni 3-6 mesi, e dopo qualsiasi modifica significativa alla configurazione del web server.

Di tendenza

Come installare CIAO con docker sul tuo VPS
kumander linux xfce desktop
Windows 7 rivive in una distribuzione Linux con Kumander Linux
Snap su Ubuntu: come rimuovere tutte le versioni obsolete in un solo comando
Snap su Ubuntu: come rimuovere tutte le versioni obsolete in un solo comando
Which Browser Leaks Your Data?
LibreWolf e Mullvad Browser: i fork di Firefox per la privacy