Verifica dei server SSL / TLS per il supporto della crittografia NULL

4

Ho un server web che supporta i protocolli SSL 3 e TLS, le seguenti sono le suite di crittografia supportate:

  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Come posso verificare se il server supporta NULL cipher?

    
posta Arun 22.07.2013 - 09:55
fonte

2 risposte

5
openssl s_client -connect www.example.com:443 -cipher NULL 

Potresti anche dare un'occhiata a questo blog che spiega come prova per diversi codici.

Per eseguire il test delle crittografie a 64 bit o inferiori è possibile utilizzare:

openssl s_client -connect www.example.com:443 -cipher LOW

Per testare i codici a 128 bit:

openssl s_client -connect www.example.com:443 -cipher MEDIUM 

Per testare qualcosa di più di 128 bit:

openssl s_client -connect www.example.com:443 -cipher HIGH
    
risposta data 22.07.2013 - 09:59
fonte
2

Oltre alla soluzione suggerita da @ Lucas (con openssl ), puoi provare questo strumento , che fornisci l'elenco di tutte le suite di crittografia supportate dal tuo server, insieme ad altre informazioni. Le suite di crittografia che non crittografano effettivamente i dati sono:   TLS_NULL_WITH_NULL_NULL , TLS_RSA_WITH_NULL_MD5 , TLS_RSA_WITH_NULL_SHA e TLS_RSA_WITH_NULL_SHA256 .

Se il tuo server è accessibile da Internet in generale, allora SSL Labs come uno strumento che ti darà informazioni simili (ma non fatevi prendere dal panico se notate un grosso avvertimento rosso sulla vulnerabilità all'attacco di BEAST, è non più reale ).

    
risposta data 22.07.2013 - 14:46
fonte