Frage Wie kann ich überprüfen, ob TLS 1.2 auf einem Remote-Webserver von der RHEL / CentOS-Shell unterstützt wird?


Ich bin auf CentOS 5.9.

Ich möchte anhand der Linux-Shell feststellen, ob ein Remote-Webserver TLS 1.2 (im Gegensatz zu TLS 1.0) unterstützt. Gibt es eine einfache Möglichkeit, das zu überprüfen?

Ich sehe keine verwandte Option openssl aber vielleicht übersehe ich etwas.


88
2017-10-21 20:39


Ursprung




Antworten:


Sie sollten openssl s_client verwenden, und die Option, nach der Sie suchen, ist -tls1_2.

Ein Beispielbefehl wäre:

openssl s_client -connect google.com:443 -tls1_2

Wenn Sie die Zertifikatskette und den Handshake erhalten, wissen Sie, dass das System TLS 1.2 unterstützt. Wenn Sie sehen, dass die Zertifikatskette nicht angezeigt wird, und etwas Ähnlichem wie "Handshake-Fehler", wissen Sie, dass TLS 1.2 nicht unterstützt wird. Sie können auch für TLS 1 oder TLS 1.1 mit -tls1 bzw. tls1_1 testen.


134
2017-10-21 20:48



Denken Sie daran, dass Sie eine Version von OpenSSL verwenden müssen, die TLS 1.2 ausführt, und das bedeutet, dass CentOS 5 direkt verfügbar ist. - Michael Hampton♦
Funktioniert nicht unter Mac OS X 10.11 - Quanlong
Michael Hampton, nur OOB Setups: [mich @ server] [~] cat / etc / redhat-release CentOS release 5.11 (Final) [mich @ server] [~] openssl version OpenSSL 1.0.2d 9 Jul 2015;) - Kevin_Kinsey
@Quanlong Homebrew hat openssl v1.0.2. Installiere es und starte es dann mit /usr/local/Cellar/openssl/1.0.2d_1/bin/openssl s_client -connect google.com:443 -tls1_2 - Xiao
Es funktioniert gut nach brew upgrade openssl - Quanlong


Sie können auch alle unterstützten Verschlüsselungen auflisten mit:

nmap --script ssl-enum-ciphers -p 443 www.example.com

Und dann überprüfe die Ausgabe. Wenn es unterstützt wird, erhalten Sie Folgendes:

|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors: 
|       NULL

72
2017-10-21 20:52



Es ist mir wirklich schwer gefallen, dieses Drittanbieter-Skript funktionieren zu lassen. Schrieb meine für Interessierte: Hier. - Xavier Lucas
Es hat super für mich funktioniert. - colefner