Verifica versione SSL/TLS con openssl o nmap
Ormai è bene mantenere attiva solo la versione TLS 1.2 (o superiore) sul certificato HTTPS del sito. Un modo semplice per recuperare l’elenco delle versioni TLS attive è usare nmap, ad esempio:
1 |
~$ nmap --script ssl-enum-ciphers -p 443 blog.smsoft.it |
ed avremo come risposta:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Starting Nmap 7.80 ( https://nmap.org ) at 2019-12-16 13:22 CET Nmap scan report for blog.smsoft.it (185.81.4.127) Host is up (0.056s latency). rDNS record for 185.81.4.127: encke.dnshigh.com PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: client |_ least strength: A Nmap done: 1 IP address (1 host up) scanned in 2.07 seconds |
In alternativa possiamo usare openssl, ma qui la procedura è leggermente differente. Dobbiamo infatti specificare quale protocollo controllare e, dal messaggio, capire se sia o meno attivo. Ad esempio per testare TLS1.0:
1 |
~$ openssl s_client -connect blog.smsoft.it:443 -tls1 |
ed avremo come risposta:
1 |
CONNECTED(00000005)<br> 4744506988:error:1400442E:SSL routines:CONNECT_CR_SRVR_HELLO:tlsv1 alert protocol version:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.11.1/libressl-2.8/ssl/ssl_pkt.c:1200:SSL alert number 70<br> 4744506988:error:140040E5:SSL routines:CONNECT_CR_SRVR_HELLO:ssl handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.11.1/libressl-2.8/ssl/ssl_pkt.c:585:<br>---<br>no peer certificate available<br>---<br>No client certificate CA names sent<br>---<br>SSL handshake has read 7 bytes and written 0 bytes<br>---<br>New, (NONE), Cipher is (NONE)<br>Secure Renegotiation IS NOT supported<br>Compression: NONE<br>Expansion: NONE<br>No ALPN negotiated<br>SSL-Session:<br> Protocol : TLSv1<br> Cipher : 0000<br> Session-ID:<br> Session-ID-ctx:<br> Master-Key:<br> Start Time: 1576499144<br> Timeout : 7200 (sec)<br> Verify return code: 0 (ok)<br>--- |
Dove la riga “no peer certificate available” indicherà che il protocollo TLS1.0 è disabilitato.
Per provare TLS 1.1 si può usare il flag -tls1_1 e per provare TLS 1.2 si può usare il flag -tls1_2.
enjoy!
Ti interessa acquistare un dominio a prezzi ultraconvenienti? clicca qui
Se hai trovato utili le informazioni su questo blog,
Fai una donazione!
Clicca sul bottone qui sotto o almeno clicca sul banner pubblicitario 🙂
Commenta