Làm cách nào tôi có thể xem phiên bản SSL nào mà máy chủ web hiện đang sử dụng?

18

Tôi tin rằng tôi đã vô hiệu hóa SSL 2.0 trên máy chủ web của mình (Windows Server 2003). Để chắc chắn rằng nó hiện đang sử dụng SSL 3.0, làm cách nào tôi có thể kiểm tra điều này?

Cách chính xác để vô hiệu hóa 2.0 và kích hoạt 3.0 trên máy chủ web là gì?

— wahle509
nguồn

1

Có thể thuộc về ServerFault

— JohnFx

25

IIS sẽ đàm phán phiên bản SSL sẽ được sử dụng với máy khách và do đó nên chọn phiên bản cao nhất sẽ hoạt động với máy khách đó. Bằng cách vô hiệu hóa SSL v2, bạn đang nói rằng bất kỳ khách hàng nào không thể sử dụng V3 sẽ không thể tạo kết nối SSL, đây có phải là điều bạn muốn không?

Theo như kiểm tra rằng nó đang sử dụng V3, nếu bạn có quyền truy cập vào máy linux (hoặc cygwin trên Windows) với cài đặt openssl, bạn có thể chạy lệnh này:

openssl s_client -connect server.com:443 -ssl3

Nếu bạn có thể kết nối, thì nó đang hoạt động. Thay thế ssl3 cho ssl2 nếu bạn muốn kiểm tra SSL2.

— Sam Cogan
nguồn

Điều tôi muốn là vô hiệu hóa 2.0, vì vậy khách hàng buộc phải sử dụng 3.0 hoặc TLS 1.0.

— wahle509

1

Điều đó rất tốt, nhưng nếu khách hàng của họ không hỗ trợ 3.0 hoặc TLS 1.0 thì họ sẽ không thể kết nối

— Sam Cogan

Tôi sẽ không lo lắng quá nhiều về các máy khách không có hỗ trợ SSL v3 / TLS 1.0. Các giao thức này đã được hỗ trợ trong các trình duyệt web phổ biến từ giữa những năm 90: stackoverflow.com/questions/881563/ mẹo

— Andy Holt

4

Dưới đây là tài liệu chính thức của Microsoft về cách vô hiệu hóa giao thức SSL cụ thể.

Các thử nghiệm openssl chắc chắn là dễ dàng nhất. Có các bản phân phối nhị phân của openssl có sẵn cho Windows.

— MattB
nguồn

Vì vậy, nếu tôi tắt 2.0, máy khách sẽ buộc phải kết nối bằng 3.0 hoặc TLS. Đúng?

— wahle509

2

Đúng rồi. Nếu một máy khách chỉ hỗ trợ 2.0, họ sẽ không thể kết nối.

— MattB

4

Cách dễ nhất để xác minh rằng SSL 2.0 bị vô hiệu hóa là sử dụng http://www.serversniff.net/content.php?do=ssl hoặc https://www.ssllabs.com/ssldb/index.html

— Robert
nguồn

1

Liên kết đầu tiên đã chết.

— Ricardo Gladwell

3

openssl.exe s_client -connect localhost: 443 hoặc

http://www.foundstone.com/us/resource/proddesc/ssldigger.htmlm http://www.serversniff.net

— opexxx
nguồn

Làm thế nào để bạn sử dụng "openssl.exe s_client -connect localhost: 443". Tôi không nghĩ rằng tôi có openssl.exe trên máy chủ. Ngoài ra, tôi đã cài đặt công cụ SSLDigger, nhưng không biết cách sử dụng nó. Có ai giúp đỡ không?

— wahle509

1

wahle509: Bạn có thể nhận được openssl cho các cửa sổ từ đây slproweb.com/products/Win32OpenSSL.html

— proy

0

https://www.ssllabs.com/ssltest/index.htm Trong kết quả có phần Cấu hình trong phần phụ Giao thức được liệt kê tất cả các phiên bản và hỗ trợ của chúng.

— Ivan
nguồn

0

Updated info for 2017 tech

Để chỉ xem phiên bản giao thức hiện tại (không thay đổi nó)

Truy cập trang HTTPS được đề cập và nhấp vào biểu tượng khóa màu xanh lục trong thanh địa chỉ của trình duyệt của bạn. Từ đây bạn có thể nhấp để biết thêm thông tin chi tiết bao gồm phiên bản giao thức hiện đang sử dụng.

Chỉnh sửa mỗi bình luận :
Điều này sẽ không cho phép bạn tìm TẤT CẢ các phiên bản có sẵn. Nếu bạn đang chạy trình duyệt mới nhất, có khả năng bạn chỉ kết nối với phiên bản TLS / SSL mới nhất hiện có. Đối với một thử nghiệm nhanh để đảm bảo rằng bạn có sẵn phiên bản mới nhất, đây là một lựa chọn rất dễ dàng.

— Hiệp sĩ
nguồn

Tuy nhiên, điều đó sẽ không cho bạn biết nếu các giao thức kém an toàn hơn có sẵn. Một bài kiểm tra đầy đủ là quan trọng.

— ceejayoz