快速檢測網站是否已關閉 TLS 1.1/1.0

2021-02-28 07:24 AM

2,512

網站是否關閉 TLS 1.1/1.0 是近期資安稽查的重點項目。要知道網站的 TLS 開啟狀態，對外網站用 Qualys SSL Labs 的免費線上檢測跑一下立見分曉。

但如果是內部網站，沒對外公開 SSL Labs 網站摸不到無從檢查，怎麼辦？

爬文找到簡便方法 - 用 openssl。

openssl s_client -connect www.ey.gov.tw:443 -tls1
openssl s_client -connect www.ey.gov.tw:443 -tls1_1
openssl s_client -connect www.ey.gov.tw:443 -tls1_2

如下圖所示，若網站已關閉該協定，openssl 測試時應傳回 error: ssl_choose_client_version:unsupported 等訊息，可藉此檢測是否已符合規定。

openssl.exe 何處尋？

接下來的疑問通常是 - openssl.exe 是 Windows 內建程式嗎？要去哪裡抓？

裝一下 Git for Windows 就有了。(記得順便活用 Git，讓人生變彩色的)

Posted in
IIS

and has 2 comments

Comments

# 2021-03-06 10:05 AM by 大元

黑大在之前的文章有介紹過 NAMP， https://blog.darkthread.net/blog/rdp-ssl-cipher-vulnerability/ 這篇沒有特別提及而是介紹 openssl，想必是因為簡單使用，需求明確的使用情境吧！

不知道是否可以這樣歸結各種工具的使用時機：

如果可以登入 Server，使用 RegEdit 或 IISCrypto 可以用來確認與調整 TLS Client / Server 支援的 TLS 版本以及調整支援的 Cipher Suite；如果只是要確認 Server 是否啟用特定的 TLS 版本，則使用 openssl，如同本文的情境；如果是要從 Client 端測試 Server 端支援的 TLS 版本以及 Cipher Suite 等詳盡資訊則使用 NMAP。

快速檢測網站是否已關閉 TLS 1.1/1.0

快速檢測網站是否已關閉 TLS 1.1/1.0

openssl.exe 何處尋？

Comments

# 2021-03-06 10:05 AM by 大元

Post a comment

Recommend

Accelerating Analytics with Direct Data Mapping

【茶包射手日記】IIS 整合式登入 MSSQL 之 AppPool 身分疑雲

如何优雅的实现 Spring Boot 接口参数加密解密?

Nine Words to Watch for When Writing Survey Questions

Sample Size Estimation for NPS Confidence Intervals

Werner Vogels 談 Amazon 怎麼從 Monolith 到 Service-based Architecture

感兴趣的很多，擅长的却没一个

如何学习大咖的经验？看这篇就够了！

人工智能红利：程序员的4种享用方式

安晓辉生涯——聚焦程序员的职业规划与成长

About Joyk