如何使用 openssl s_client 测试 SSLv2Hello 支持?

如何使用 openssl s_client 测试 SSLv2Hello 支持?

我在 Tomcat 中启用了 TLS1 和 SSLv2Hello,但我想测试 SSLv2Hello 客户端 hello 升级是否真的有效。我在 openssl s_client 文档中找不到有关如何与服务器建立 SSLv2hello 连接的任何信息。

答案1

您应该完全禁用 SSL2 支持。它被发现存在漏洞,并于 1996 年被弃用(!)。您可能需要自己编译 OpenSSL 以启用对它的支持,我认为根本没有理由这样做。

所以,除非您能真正解释为什么需要 SSLv2,否则就坚持使用 TLS1 进行加密……

您可以验证您的服务器不支持SSLv2,使用 OpenSSL 1.0.2e 之前的版本(仍然支持 SSLv2)并发布

 openssl s_client -ssl2 -brief -connect example.com:443

原文应为:write:errno=104

此命令将有助于验证 SSLv3 是否也被禁用:

openssl s_client -ssl3 -brief -connect example.com:443

应该读起来像这样:

140547360663192:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:s3_pkt.c:1472:SSL alert number 40
140547360663192:error:1409E0E5:SSL routines:ssl3_write_bytes:ssl handshake failure:s3_pkt.c:656:

相关内容