SSL3.0やTLS1.0、1.1の脆弱性対応などでTLSプロトコルの低バージョンが禁止されているか確認されたい場合があるかと思います。
許可されているTLSのバージョンを確認する方法をご案内します。
Webの場合は下記のURLにてドメインを入力頂きますと、
TLSのバージョンや、許可されている暗号スイーツの一覧が確認できます。
https://www.ssllabs.com/ssltest/
opensslコマンドでも許可されているTLSのバージョンを確認できます。
・SSL3.0通信確認
openssl s_client -connect ドメイン:443 -ssl3
・TLS1.0通信確認
openssl s_client -connect ドメイン:443 -tls1
・TLS1.1通信確認
openssl s_client -connect ドメイン:443 -tls1_1
・TLS1.2通信確認
openssl s_client -connect ドメイン:443 -tls1_2
許可されていない場合は下記の様なエラーになります。
CONNECTED(00000003)
140174949214024:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1259:SSL alert number 40
140174949214024:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:598:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
Krb5 Principal: None
PSK identity: None
PSK identity hint: None
Start Time: 1653903994
Timeout : 7200 (sec)
Verify return code: 0 (ok)
443のポート番号部分を変えればWeb以外のサービスの確認も可能です。
・メールの場合(SMTP送信)
openssl s_client -connect ドメイン:465 -tls1_2
・メールの場合(POPS)
openssl s_client -connect ドメイン:995 -tls1_2
指定の暗号スイーツが使用されていないかの確認も可能です。
・SMTP送信でTLS1.2、暗号スイーツRC4が使用されていないかの確認
openssl s_client -connect ドメイン:465 -tls1.2 -cipher `openssl ciphers RC4`
