Como Steffen Ullrich ha mencionado , puede pasar una lista de cifrados a la opción -cipher
de s_client
. Esto no es un elemento único, sino una especificación y también se puede usar para la opción nginx ssl_ciphers
, o Apache SSLCipherSuite
.
Puede pasar varias cifras utilizando un separador de espacio, coma o dos puntos. Ejemplo:
openssl s_client -cipher ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384 \
-connect example.com:443
La lista anterior especifica dos cifras específicas. También se puede pasar un grupo de cifrados. Este es un ejemplo de una especificación de lista de cifrado que requiere un acuerdo de clave ECDH (ECDH) autenticado y autenticado, RSA para autenticación y solo conjuntos de cifrado que se consideran de "alto" cifrado:
openssl s_client -cipher ECDH+aRSA+HIGH -connect example.com:443
¿A qué se expande esto? El comando openssl ciphers
se puede usar para este propósito:
$ openssl ciphers ECDH+aRSA+HIGH
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA
o más verbalmente:
$ openssl ciphers -v ECDH+aRSA+HIGH
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
Para obtener más información, lea la página de manual de ciphers
.