Wie kann ich feststellen, welche SSL-Version ein Webserver derzeit verwendet?

18

Ich glaube, ich habe SSL 2.0 auf meinem Webserver deaktiviert (Windows Server 2003). Wie kann ich dies überprüfen, um sicherzustellen, dass SSL 3.0 verwendet wird?

Was ist der richtige Weg, um 2.0 auf einem Webserver zu deaktivieren und 3.0 zu aktivieren?

wahle509
quelle
1
Könnte auf ServerFault gehören
JohnFx

Antworten:

25

IIS handelt die mit dem Client zu verwendende SSL-Version aus und sollte daher die höchste Version auswählen, die mit diesem Client funktioniert. Wenn Sie SSL v2 deaktivieren, können Clients, die V3 nicht verwenden können, keine SSL-Verbindung herstellen. Ist dies das, was Sie möchten?

Um zu überprüfen, ob V3 verwendet wird, können Sie den folgenden Befehl ausführen, wenn Sie Zugriff auf einen Linux-Computer (oder Cygwin unter Windows) mit installiertem openssl haben:

openssl s_client -connect server.com:443 -ssl3

Wenn Sie eine Verbindung herstellen können, funktioniert es. Ersetzen Sie ssl2 durch ssl3, wenn Sie SSL2 überprüfen möchten.

Sam Cogan
quelle
Ich möchte, dass 2.0 deaktiviert wird, sodass Clients gezwungen sind, 3.0 oder TLS 1.0 zu verwenden.
wahle509
1
Das ist alles sehr gut, aber wenn der Client 3.0 oder TLS 1.0 nicht unterstützt, können sie keine Verbindung herstellen
Sam Cogan
Ich würde mir nicht allzu viele Sorgen machen, wenn Clients ohne SSL v3 / TLS 1.0-Unterstützung eine Verbindung herstellen könnten. Diese Protokolle werden seit Mitte der 90er Jahre in gängigen Webbrowsern unterstützt: stackoverflow.com/questions/881563/…
Andy Holt
4

Hier finden Sie die offizielle Microsoft-Dokumentation zum Deaktivieren eines bestimmten SSL-Protokolls.

Der OpenSSL-Test ist definitiv der einfachste. Es gibt Binärdistributionen von OpenSSL für Windows.

MattB
quelle
Wenn ich also 2.0 deaktiviere, werden Clients gezwungen, eine Verbindung mit 3.0 oder TLS herzustellen. Recht?
wahle509
2
Das ist richtig. Wenn ein Client nur 2.0 unterstützt, kann er keine Verbindung herstellen.
MattB
3

openssl.exe s_client -connect localhost: 443 oder

http://www.foundstone.com/us/resources/proddesc/ssldigger.htm http://www.serversniff.net

opexxx
quelle
Wie verwenden Sie "openssl.exe s_client -connect localhost: 443". Ich glaube nicht, dass ich openssl.exe auf dem Server habe. Außerdem habe ich das SSLDigger-Tool installiert, weiß aber nicht, wie es verwendet wird. Irgendeine Hilfe?
wahle509
1
wahle509: Sie können openssl für Windows von hier bekommen slproweb.com/products/Win32OpenSSL.html
proy
0

Updated info for 2017 tech

Nur zum Anzeigen der aktuellen Protokollversion (nicht zum Ändern)

Besuchen Sie die betreffende HTTPS-Seite und klicken Sie auf das grüne Schlosssymbol in der Adressleiste Ihres Browsers. Von hier aus können Sie auf weitere Informationen klicken, einschließlich der aktuell verwendeten Protokollversion.

Per Kommentar bearbeiten :
Hiermit können Sie nicht ALLE verfügbaren Versionen finden. Wenn Sie den neuesten Browser verwenden, stellen Sie wahrscheinlich nur eine Verbindung mit der neuesten verfügbaren TLS / SSL-Version her. Für einen schnellen Test, um sicherzustellen, dass Sie die neueste Version zur Verfügung haben, ist dies eine sehr einfache Wahl.

KnightHawk
quelle
Das sagt Ihnen jedoch nicht, ob andere, weniger sichere Protokolle verfügbar sind. Ein vollständiger Test ist wichtig.
Ceejayoz