Intereting Posts
Можно ли сделать файл .tar.gz непосредственно из stdin? Или, мне нужно, чтобы смонтировать вместе уже gzipped файлы Преобразование файла .okular в pdf Получение файла fasta fuser vs lsof для проверки используемых файлов Как я могу автоматически изменить принтер по умолчанию на основе подключенной сети? Что именно означает настроить сетевой интерфейс вверх и вниз? Список команд, выполняемых пакетом rpm Существует ли установщик .sh (архив программного обеспечения добавляется в текстовый файл .sh), генерирующий инструменты для unix? tmux не проходит корректно последовательности ctrl-shift-arrow Есть ли способ приостановить процесс, который принадлежит оболочке A, а на переднем плане – в оболочке B? Попытка отключить некоторые функции Bluetooth на RPi3 Изменить вывод дисплея с помощью xrandr? Ядро 3.3.2-6.fc16.x86_64 широкополосное беспроводное соединение не появляется Почему команды верхнего регистра работают в моей оболочке Bash? PPC Debian: eth0: переход на принудительный 10bt / 100bt

Как проверить нетерпимость версии TLS?

После обновления до Mozilla Firefox 38 на веб-сайте HTTPS мы могли увидеть сообщение «Безопасное подключение».

Если мы помещаем сайты в список исключений с «security.tls.insecure_fallback_hosts» – тогда мы можем видеть, что он может подключаться через TLSv1.2 (используя https://addons.mozilla.org/en-us/firefox/addon/calomel -ssl-валидация / )

Мы подозреваем, что проблема с серверами связана с нетерпимостью версии TLS.

Вопрос : Существуют ли какие-либо сценарии, решения для тестирования данного веб-сервера на данном порту, что он имеет нетерпимость версии TLS или нет? Серверы не публикуются в Интернете.

Вы можете использовать инструмент командной строки OpenSSL для тестирования, например, в качестве отправной точки:

$ openssl s_client -connect example.com:443 -verify 1 -tls1_2 

Где:

-tls1_2 – просто используйте TLSv1.2

openssl s_client -h ( openssl s_client -h или man s_client ) описывает многие другие параметры – вы можете, например, указать список шифров, также может быть явно установленный или современный клиент / сервер, что может привести к неудачным соединениям – особенно при подключении к / от старого сервера / клиента.

Пример, который показывает разные результаты:

 $ echo | openssl s_client -verify 1 -connect www.cebitec.uni-bielefeld.de:443 [..] verify return:1 [..] SSL-Session: Protocol : TLSv1 Cipher : AES128-SHA Session-ID: [non-empty] [..] --- DONE $ echo $? 0 

Это было без соблюдения минимальной версии, теперь с требованием TLS 1.2:

 $ echo \ | openssl s_client -verify 1 -tls1_2 -connect www.cebitec.uni-bielefeld.de:443 [..] [..]:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:347: -- no peer certificate available [..] SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: [..] --- $ echo $? 1 

Это означает, что сервер не поддерживает TLS 1.2.

Вероятно, потому что он использует довольно старую версию openssl.

Если сайт был в Интернете, https://www.ssllabs.com/ssltest/ – отличный инструмент для отладки этих проблем.

Ответ maxschlepzig будет проверяться специально для непереносимости, но я видел, как материал терпит неудачу по множеству разных причин, включая самые недавние слабые ключи Diffie-Hellman, ваш дистрибутив, возможно, обновил NSS или OpenSSL, чтобы он отказался от <= 768 бит ключей. Раньше я видел, как материал терпит неудачу из-за большого ClientHello, а не общего шифрования и т. Д.

Для отладки проблем с SSL / TLS в целом cipherscan велик, но он не может проверить на нетерпимость . Другим полезным инструментом является sslscan .