सवाल RHEL / CentOS खोल से दूरस्थ वेब सर्वर पर TLS 1.2 समर्थित है या नहीं, तो मैं कैसे सत्यापित कर सकता हूं?


मैं सेंटोस 5.9 पर हूं।

यदि मैं रिमोट वेब सर्वर विशेष रूप से टीएलएस 1.2 (टीएलएस 1.0 के विपरीत) का समर्थन करता हूं तो मैं लिनक्स खोल से निर्धारित करना चाहता हूं। क्या इसके लिए जांच करने का कोई आसान तरीका है?

मुझे एक संबंधित विकल्प नहीं दिख रहा है openssl लेकिन शायद मैं कुछ दिख रहा हूँ।


89
2017-10-21 20:39


मूल




जवाब:


आपको openssl s_client का उपयोग करना चाहिए, और जिस विकल्प को आप ढूंढ रहे हैं वह है -tls1_2।

एक उदाहरण कमांड होगा:

openssl s_client -connect google.com:443 -tls1_2

अगर आपको सर्टिफिकेट चेन मिलती है और हैंडशेक आपको पता है कि प्रश्न में सिस्टम टीएलएस 1.2 का समर्थन करता है। यदि आप देखते हैं कि प्रमाणपत्र श्रृंखला नहीं दिखाई देती है, और "हैंडशेक त्रुटि" जैसी कुछ चीज़ आपको पता है कि यह टीएलएस 1.2 का समर्थन नहीं करता है। आप टीएलएस 1 या टीएलएस 1.1 के लिए क्रमशः -tls1 या tls1_1 के साथ परीक्षण भी कर सकते हैं।


135
2017-10-21 20:48



और ध्यान रखें कि आपको ओपनएसएसएल के एक संस्करण का उपयोग करना होगा जो टीएलएस 1.2 करता है, और इसका मतलब है कि सेंटोस 5 सही है। - Michael Hampton♦
मैक ओएस एक्स 10.11 पर काम नहीं करता है - Quanlong
माइकल हैम्पटन, केवल ओओबी सेटअप: [मुझे @ सर्वर] [~] बिल्ली / आदि / redhat-रिलीज CentOS रिलीज 5.11 (अंतिम) [मुझे @ सर्वर] [~] openssl संस्करण ओपनएसएसएल 1.0.2 डी 9 जुलाई 2015;) - Kevin_Kinsey
@Quanlong होमब्रू openssl v1.0.2 है। इसे स्थापित करें और फिर इसे चलाएं /usr/local/Cellar/openssl/1.0.2d_1/bin/openssl s_client -connect google.com:443 -tls1_2 - Xiao
यह ठीक काम करता है brew upgrade openssl - Quanlong


इसके अलावा आप सभी समर्थित सिफर का उपयोग कर सूचीबद्ध कर सकते हैं:

nmap --script ssl-enum-ciphers -p 443 www.example.com

और फिर आउटपुट की जांच करें। यदि यह समर्थित है तो आपको ऐसा कुछ मिल जाएगा:

|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors: 
|       NULL

72
2017-10-21 20:52



इस तीसरे पक्ष के स्क्रिप्ट के काम को करने की कोशिश कर रहे वास्तव में कठिन समय मिला। रुचि रखने वाले लोगों के लिए मेरा उद्धरण: यहाँ। - Xavier Lucas
वो मेरे लिए बहुत अच्छा था। - colefner