Estoy escaneando direcciones IP (propiedad de mi empresa) para determinar qué servidores siguen siendo compatibles con TLS 1.0, con el objetivo de identificarlos y deshabilitar el soporte de TLS 1.0.
Me pregunto si alguien podría influir en mis métodos de prueba ya que estoy obteniendo resultados mixtos.
Cuando se utiliza enlace : devuelve que TLS 1.0 NO está habilitado:
Comprobando los protocolos sslv2, sslv3, tlsv1, tlsv1.1, tlsv1.2
El servidor sslv2 no admite sslv2
el servidor sslv3 no admite sslv3
el servidor tlsv1 no admite tlsv1
El servidor tlsv1.1 no admite tlsv1.1
El servidor tlsv1.2 es compatible con tlsv1.2
Al usar el comando openssl s_client -connect x.x.x.x: 443 -tls1 se conecta, y muestra lo que parece ser una conexión TLS 1.0 válida:
El protocolo de enlace SSL ha leído 3418 bytes y ha escrito 315 bytes
Nuevo, TLSv1 / SSLv3, el cifrado es ECDHE-RSA-AES256-SHA
La clave pública del servidor es 2048 bit
Se admite la renegociación segura
Compresión: NINGUNA
Expansión: NINGUNA
No ALPN negociado
Sesión SSL:
Protocolo: TLSv1
Cifrado: ECDHE-RSA-AES256-SHA
ID de sesión: BE04A17FD209D42326FC2AC4DFB9456BBD3BFA89AACF4C8A614C3B
ID de sesión-ctx:
Clave maestra
14177405E2C3D11DB8E63dBA5AC179D26B1E8EA838EC2E309D3AD2CBE0C57DBB4B179854EBB6CCE86A9D50
Key-Arg: Ninguno
Krb5 Principal: Ninguno
Identidad PSK: Ninguna
Sugerencia de identidad de PSK: Ninguna
Hora de inicio: 1532456238
Tiempo de espera: 7200 (s)
Verificar código de retorno: 0 (ok)
Finalmente, al realizar pruebas en IE, puedo desmarcar "Usar TLS 1.1" y "Usar TLS 1.2" y solo tener "Usar TLS 1.0" marcado. Puedo hacer una conexión al sitio (después de reiniciar IE) de esta manera.
¿Puedo suponer que mi prueba de openssl es correcta y que los resultados de serversniff.net son incorrectos?