Verifica versione SSL/TLS con openssl o nmap

Ormai è bene mantenere attiva solo la versione TLS 1.2 (o superiore) sul certificato HTTPS del sito. Un modo semplice per recuperare l’elenco delle versioni TLS attive è usare nmap, ad esempio:

~$ nmap --script ssl-enum-ciphers -p 443 blog.smsoft.it

ed avremo come risposta:

  Starting Nmap 7.80 ( https://nmap.org ) at 2019-12-16 13:22 CET
  Nmap scan report for blog.smsoft.it (185.81.4.127)
  Host is up (0.056s latency).
  rDNS record for 185.81.4.127: encke.dnshigh.com

PORT    STATE SERVICE
 443/tcp open  https
 | ssl-enum-ciphers:
 |   TLSv1.2:
 |     ciphers:
 |       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
 |       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
 |       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
 |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
 |     compressors:
 |       NULL
 |     cipher preference: client
 |_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds

In alternativa possiamo usare openssl, ma qui la procedura è leggermente differente. Dobbiamo infatti specificare quale protocollo controllare e, dal messaggio, capire se sia o meno attivo. Ad esempio per testare TLS1.0:

~$ openssl s_client -connect blog.smsoft.it:443 -tls1

ed avremo come risposta:

CONNECTED(00000005)
 4744506988:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.11.1/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70
 4744506988:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.11.1/libressl-2.8/ssl/ssl_pkt.c:585:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
  Protocol  : TLSv1
  Cipher    : 0000
  Session-ID:
  Session-ID-ctx:
  Master-Key:
  Start Time: 1576499144
  Timeout   : 7200 (sec)
  Verify return code: 0 (ok)
---

Dove la riga “no peer certificate available” indicherà che il protocollo TLS1.0 è disabilitato.

Per provare TLS 1.1 si può usare il flag -tls1_1 e per provare TLS 1.2 si può usare il flag -tls1_2.

enjoy!

Ti interessa acquistare un dominio a prezzi ultraconvenienti? clicca qui

Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂