Cómo comprobar intolerancia a la versión TLS en un terminal para un sitio web remoto ?
¡Con openssl o sin él!
Cómo comprobar intolerancia a la versión TLS en un terminal para un sitio web remoto ?
¡Con openssl o sin él!
Si puede instalar python y scapy, puede utilizar la utilidad de línea de comandos tolerantls para verificar la intolerancia a la versión TLS.
El uso es bastante sencillo, por ejemplo:
$ tolerantls.py --host example.com
[*] Testing TLS version intolerance against example.com:443
[+] Server is not intolerant - it downgraded the client request and proposed to use TLS_1_2
Encontré Cipherscan de Mozilla una herramienta excelente para esta y otras pruebas relacionadas con TLS.
Todo lo que necesitas hacer es
./cipherscan remote_site_to_test
Muestra información relacionada con cihersuite, pedidos, grapado OCSP, etc. .
La salida de muestra relacionada para la intolerancia TLS se ve a continuación:
Intolerance to:
SSL 3.254 : absent
TLS 1.0 : PRESENT
TLS 1.1 : PRESENT
TLS 1.2 : absent
TLS 1.3 : absent
TLS 1.4 : absent
Puede hacer esto como sugirió con OpenSSL
eliminando selectivamente TLS
version:
openssl s_client -connect google.com:443 -no_tls1_2 -no_tls1_1 -no_tls1
Este ejemplo desactivará TLS
versiones: 1.2/1.1/1.0
. Dejando solo la opción de ssl3
y ssl2
. También falla porque el servidor no admite ninguna de las opciones restantes.
Lista de opciones del manual:
-no-tls1_2
-no-tls1_1
-no-tls1
-no-ssl3
-no-ssl2