Jak mogę sprawdzić, jakiej wersji SSL obecnie używa serwer WWW?

18

Wydaje mi się, że wyłączyłem SSL 2.0 na moim serwerze internetowym (Windows Server 2003). Aby upewnić się, że teraz używa protokołu SSL 3.0, jak mogę to sprawdzić?

Jaki jest prawidłowy sposób wyłączenia 2.0 i włączenia 3.0 na serwerze WWW?

wahle509
źródło
1
Może należeć do ServerFault
JohnFx

Odpowiedzi:

25

IIS wynegocjuje wersję protokołu SSL, która ma być używana z klientem, i dlatego powinna wybrać najwyższą wersję, która będzie działać z tym klientem. Wyłączając SSL v2, mówisz, że klienci, którzy nie mogą korzystać z V3, nie będą mogli nawiązać połączenia SSL, czy tego właśnie chcesz?

Jeśli chodzi o sprawdzenie, czy używa V3, jeśli masz dostęp do komputera z systemem Linux (lub cygwin w systemie Windows) z zainstalowanym openssl, możesz uruchomić to polecenie:

openssl s_client -connect server.com:443 -ssl3

Jeśli możesz się połączyć, to działa. Zamień ssl3 na ssl2, jeśli chcesz sprawdzić SSL2.

Sam Cogan
źródło
Chcę wyłączyć 2.0, więc klienci są zmuszeni do korzystania z wersji 3.0 lub TLS 1.0.
wahle509
1
To wszystko bardzo dobrze, ale jeśli klient nie obsługuje wersji 3.0 lub TLS 1.0, nie będzie mógł się połączyć
Sam Cogan
Nie martwiłbym się zbytnio o klientów bez połączenia SSL v3 / TLS 1.0. Protokoły te są obsługiwane w popularnych przeglądarkach internetowych od połowy lat 90-tych: stackoverflow.com/questions/881563/...
Andy Holt
4

Oto oficjalna dokumentacja Microsoft dotycząca wyłączania określonego protokołu SSL.

Test openssl jest zdecydowanie najłatwiejszy. Istnieją binarne dystrybucje openssl dostępne dla systemu Windows.

MattB
źródło
Tak więc, jeśli wyłączę 2.0, klienci będą zmuszeni połączyć się za pomocą 3.0 lub TLS. Dobrze?
wahle509,
2
To jest poprawne. Jeśli klient obsługuje tylko 2.0, nie będzie mógł się połączyć.
MattB
3

openssl.exe s_client -connect localhost: 443 lub

http://www.foundstone.com/us/resources/proddesc/ssldigger.htm http://www.serversniff.net

opexxx
źródło
Jak korzystać z „openssl.exe s_client -connect localhost: 443”. Nie sądzę, że mam openssl.exe na serwerze. Zainstalowałem także narzędzie SSLDigger, ale nie wiem, jak go używać. Jakaś pomoc?
wahle509
1
wahle509: Możesz uzyskać openssl dla systemu Windows stąd slproweb.com/products/Win32OpenSSL.html
proy
0

Updated info for 2017 tech

Do przeglądania tylko bieżącej wersji protokołu (bez zmiany)

Odwiedź daną stronę HTTPS i kliknij zieloną ikonę kłódki na pasku adresu przeglądarki. Stąd możesz kliknąć, aby uzyskać bardziej szczegółowe informacje, które obejmują aktualnie używaną wersję protokołu.

Edytuj według komentarza :
To nie pozwoli ci znaleźć WSZYSTKICH dostępnych wersji. Jeśli korzystasz z najnowszej przeglądarki, prawdopodobnie łączysz się tylko z najnowszą dostępną wersją TLS / SSL. Dla szybkiego testu, aby upewnić się, że masz najnowszą dostępną wersję, jest to bardzo łatwy wybór.

KnightHawk
źródło
Nie powie ci to jednak, czy dostępne są inne, mniej bezpieczne protokoły. Pełny test jest ważny.
ceejayoz