Wie kann ich feststellen, welche SSL-Version ein Webserver derzeit verwendet?

18

Ich glaube, ich habe SSL 2.0 auf meinem Webserver deaktiviert (Windows Server 2003). Wie kann ich dies überprüfen, um sicherzustellen, dass SSL 3.0 verwendet wird?

Was ist der richtige Weg, um 2.0 auf einem Webserver zu deaktivieren und 3.0 zu aktivieren?

— wahle509
quelle

1

Könnte auf ServerFault gehören

— JohnFx

25

IIS handelt die mit dem Client zu verwendende SSL-Version aus und sollte daher die höchste Version auswählen, die mit diesem Client funktioniert. Wenn Sie SSL v2 deaktivieren, können Clients, die V3 nicht verwenden können, keine SSL-Verbindung herstellen. Ist dies das, was Sie möchten?

Um zu überprüfen, ob V3 verwendet wird, können Sie den folgenden Befehl ausführen, wenn Sie Zugriff auf einen Linux-Computer (oder Cygwin unter Windows) mit installiertem openssl haben:

openssl s_client -connect server.com:443 -ssl3

Wenn Sie eine Verbindung herstellen können, funktioniert es. Ersetzen Sie ssl2 durch ssl3, wenn Sie SSL2 überprüfen möchten.

— Sam Cogan
quelle

Ich möchte, dass 2.0 deaktiviert wird, sodass Clients gezwungen sind, 3.0 oder TLS 1.0 zu verwenden.

— wahle509

1

Das ist alles sehr gut, aber wenn der Client 3.0 oder TLS 1.0 nicht unterstützt, können sie keine Verbindung herstellen

— Sam Cogan

Ich würde mir nicht allzu viele Sorgen machen, wenn Clients ohne SSL v3 / TLS 1.0-Unterstützung eine Verbindung herstellen könnten. Diese Protokolle werden seit Mitte der 90er Jahre in gängigen Webbrowsern unterstützt: stackoverflow.com/questions/881563/…

— Andy Holt

4

Hier finden Sie die offizielle Microsoft-Dokumentation zum Deaktivieren eines bestimmten SSL-Protokolls.

Der OpenSSL-Test ist definitiv der einfachste. Es gibt Binärdistributionen von OpenSSL für Windows.

— MattB
quelle

Wenn ich also 2.0 deaktiviere, werden Clients gezwungen, eine Verbindung mit 3.0 oder TLS herzustellen. Recht?

— wahle509

2

Das ist richtig. Wenn ein Client nur 2.0 unterstützt, kann er keine Verbindung herstellen.

— MattB

4

Am einfachsten können Sie überprüfen, ob SSL 2.0 deaktiviert ist, indem Sie http://www.serversniff.net/content.php?do=ssl oder https://www.ssllabs.com/ssldb/index.html verwenden

— Robert
quelle

1

Der erste Link ist tot.

— Ricardo Gladwell

3

openssl.exe s_client -connect localhost: 443 oder

http://www.foundstone.com/us/resources/proddesc/ssldigger.htm http://www.serversniff.net

— opexxx
quelle

Wie verwenden Sie "openssl.exe s_client -connect localhost: 443". Ich glaube nicht, dass ich openssl.exe auf dem Server habe. Außerdem habe ich das SSLDigger-Tool installiert, weiß aber nicht, wie es verwendet wird. Irgendeine Hilfe?

— wahle509

1

wahle509: Sie können openssl für Windows von hier bekommen slproweb.com/products/Win32OpenSSL.html

— proy

0

https://www.ssllabs.com/ssltest/index.htm Im Ergebnis gibt es den Abschnitt Konfiguration im Unterabschnitt Protokolle werden alle Versionen und deren Unterstützung aufgelistet.

— Ivan
quelle

0

Updated info for 2017 tech

Nur zum Anzeigen der aktuellen Protokollversion (nicht zum Ändern)

Besuchen Sie die betreffende HTTPS-Seite und klicken Sie auf das grüne Schlosssymbol in der Adressleiste Ihres Browsers. Von hier aus können Sie auf weitere Informationen klicken, einschließlich der aktuell verwendeten Protokollversion.

Per Kommentar bearbeiten :
Hiermit können Sie nicht ALLE verfügbaren Versionen finden. Wenn Sie den neuesten Browser verwenden, stellen Sie wahrscheinlich nur eine Verbindung mit der neuesten verfügbaren TLS / SSL-Version her. Für einen schnellen Test, um sicherzustellen, dass Sie die neueste Version zur Verfügung haben, ist dies eine sehr einfache Wahl.

— KnightHawk
quelle

Das sagt Ihnen jedoch nicht, ob andere, weniger sichere Protokolle verfügbar sind. Ein vollständiger Test ist wichtig.

— Ceejayoz