ฉันจะตรวจสอบว่าสนับสนุน TLS 1.2 บนเว็บเซิร์ฟเวอร์ระยะไกลจากเปลือก RHEL / CentOS ได้อย่างไร


102

ฉันใช้ CentOS 5.9

ฉันต้องการพิจารณาจาก linux shell หากเว็บเซิร์ฟเวอร์ระยะไกลสนับสนุน TLS 1.2 โดยเฉพาะ (เทียบกับ TLS 1.0) มีวิธีง่าย ๆ ในการตรวจสอบว่า?

ฉันไม่เห็นตัวเลือกที่เกี่ยวข้องopensslแต่บางทีฉันอาจมองเห็นบางสิ่งบางอย่าง

คำตอบ:


161

คุณควรใช้ openssl s_client และตัวเลือกที่คุณต้องการคือ -tls1_2

ตัวอย่างคำสั่งจะเป็น:

openssl s_client -connect google.com:443 -tls1_2

หากคุณได้รับห่วงโซ่ใบรับรองและการจับมือกันคุณจะรู้ว่าระบบที่เป็นปัญหารองรับ TLS 1.2 หากคุณเห็นไม่เห็นห่วงโซ่ใบรับรองและสิ่งที่คล้ายกับ "ข้อผิดพลาดการจับมือกัน" คุณรู้ว่าไม่รองรับ TLS 1.2 คุณสามารถทดสอบ TLS 1 หรือ TLS 1.1 ด้วย -tls1 หรือ tls1_1 ตามลำดับ


8
และพึงระลึกไว้ว่าคุณจะต้องใช้ OpenSSL เวอร์ชันที่เป็น TLS 1.2 และนั่นหมายความว่า CentOS 5 นั้นถูกต้อง
Michael Hampton

14
ไม่ทำงานบน Mac OS X 10.11
Quanlong

Michael Hampton, การตั้งค่า OOB เท่านั้น: [me @ server] [~] cat / etc / redhat-release CentOS รีลีส 5.11 (Final) [me @ server] [~] openssl รุ่น OpenSSL 1.0.2d 9 ก.ค. 2558;)
Kevin_Kinsey

12
@Quanlong homebrew มี openssl v1.0.2 ติดตั้งแล้วเรียกใช้ด้วย/usr/local/Cellar/openssl/1.0.2d_1/bin/openssl s_client -connect google.com:443 -tls1_2
เซียว

6
มันใช้งานได้ดีหลังจากbrew upgrade openssl
Quanlong

87

นอกจากนี้คุณสามารถแสดงรายชื่อยันต์ที่รองรับทั้งหมดได้โดยใช้:

nmap --script ssl-enum-ciphers -p 443 www.example.com

จากนั้นตรวจสอบผลลัพธ์ หากได้รับการสนับสนุนคุณจะได้รับสิ่งนี้:

|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors: 
|       NULL

4
มีเวลายากมากที่จะพยายามทำให้สคริปต์ของบุคคลที่สามทำงานได้ เขียนเหมืองสำหรับผู้ที่สนใจ: ที่นี่
ซาเวียร์ลูคัส

2
มันใช้งานได้ดีสำหรับฉัน
colefner
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.