Frage Wie kann ich sehen, welche SSL-Version ein Webserver derzeit verwendet?


Ich glaube, ich habe SSL 2.0 auf meinem Webserver (Windows Server 2003) deaktiviert. Wie kann ich dies überprüfen, um sicherzustellen, dass es jetzt SSL 3.0 verwendet?

Was ist die korrekte Methode zum Deaktivieren von 2.0 und Aktivieren von 3.0 auf einem Webserver?


18
2018-01-26 17:35


Ursprung


Könnte zu ServerFault gehören - JohnFx


Antworten:


IIS verhandelt die SSL-Version, die mit dem Client verwendet werden soll, und wählt daher die höchste Version aus, die mit diesem Client funktioniert. Wenn Sie SSL v2 deaktivieren, sagen Sie, dass Clients, die V3 nicht verwenden können, keine SSL-Verbindung herstellen können. Möchten Sie das?

Was die Überprüfung betrifft, dass V3 verwendet wird, wenn Sie Zugriff auf einen Linux-Computer (oder cygwin unter Windows) haben, auf dem openssl installiert ist, können Sie diesen Befehl ausführen:

openssl s_client -connect server.com:443 -ssl3

Wenn Sie eine Verbindung herstellen können, funktioniert es. Ersetzen Sie ssl3 für ssl2, wenn Sie SSL2 überprüfen möchten.


25
2018-01-26 17:49



Was ich möchte, ist 2.0 zu deaktivieren, so dass Clients 3.0 oder TLS 1.0 verwenden müssen. - wahle509
Das ist alles sehr gut, aber wenn der Client 3.0 oder TLS 1.0 nicht unterstützt, können sie sich nicht verbinden - Sam Cogan
Ich würde mich nicht zu sehr um Clients kümmern, wenn SSL v3 / TLS 1.0 nicht in der Lage ist, eine Verbindung herzustellen. Diese Protokolle werden seit Mitte der 90er Jahre in gängigen Webbrowsern unterstützt: stackoverflow.com/questions/881563/... - Andy Holt


Hier ist die offizielle Microsoft-Dokumentation zum Deaktivieren eines bestimmten SSL-Protokolls.

Der openssl Test ist definitiv der einfachste. Es gibt Binärdistributionen von openssl verfügbar für Windows.


4
2018-01-26 18:06



Wenn ich 2.0 deaktiviere, werden Clients gezwungen, sich mit 3.0 oder TLS zu verbinden. Recht? - wahle509
Das ist richtig. Wenn ein Client nur 2.0 unterstützt, kann er keine Verbindung herstellen. - MattB


Der einfachste Weg zu überprüfen, dass SSL 2.0 deaktiviert ist, ist zu verwenden http://www.serversniff.net/content.php?do=ssl oder https://www.ssllabs.com/ssldb/index.html


4
2018-01-27 14:52



Die erste Verbindung ist tot. - Ricardo Gladwell


openssl.exe s_client -connect localhost: 443 oder

http://www.foundstone.com/us/resources/proddesc/ssligger.htm http://www.serversniff.net


3
2018-01-26 17:16



Wie benutzt man "openssl.exe s_client -connect localhost: 443". Ich glaube nicht, dass ich openssl.exe auf dem Server habe. Außerdem habe ich das SSLDigger-Tool installiert, weiß aber nicht, wie ich es verwenden soll. Irgendeine Hilfe? - wahle509
wahle509: Sie können openssl für Windows von hier bekommen slproweb.com/products/Win32OpenSSL.html - proy


https://www.ssllabs.com/ssltest/index.htm Im Ergebnis gibt es Aufbau Abschnitt im Unterabschnitt Protokolle sind alle Version und ihre Unterstützung aufgeführt.


0
2017-08-01 13:08





Updated info for 2017 tech

Nur aktuelle Protokollversion anzeigen (nicht ändern)

Rufen Sie die betreffende HTTPS-Seite auf und klicken Sie auf das grüne Schlosssymbol in der Adressleiste Ihres Browsers. Von hier aus können Sie weitere Informationen abrufen, die die aktuell verwendete Protokollversion enthalten.

Bearbeiten Sie pro Kommentar:
Dadurch können Sie nicht finden ALLES verfügbare Versionen. Wenn Sie den neuesten Browser ausführen, verbinden Sie sich wahrscheinlich nur mit der neuesten verfügbaren TLS / SSL-Version. Für einen schnellen Test, um sicherzustellen, dass Sie die neueste Version zur Verfügung haben, ist dies eine sehr einfache Wahl.


0
2018-06-01 15:18



Das wird Ihnen nicht sagen, ob andere, weniger sichere Protokolle verfügbar sind. Ein vollständiger Test ist wichtig. - ceejayoz