Como posso ver qual versão do SSL um servidor da Web está usando atualmente?

18

Acredito que desabilitei o SSL 2.0 no meu servidor web (Windows Server 2003). Para garantir que agora ele esteja usando o SSL 3.0, como posso verificar isso?

Qual é a maneira correta de desativar o 2.0 e ativar o 3.0 em um servidor web?

windows-server-2003 web-server ssl encryption wahle509
fonte
11
Pode pertencer ao ServerFault
JohnFx

Respostas:

25

O IIS negociará a versão SSL a ser usada com o cliente e, portanto, deverá selecionar a versão mais alta que funcionará com esse cliente. Ao desativar o SSL v2, você está dizendo que qualquer cliente que não puder usar a V3 não poderá fazer uma conexão SSL. É isso que você deseja?

Quanto a verificar se está usando a V3, se você tiver acesso a uma máquina linux (ou cygwin no Windows) com o openssl instalado, poderá executar este comando:

openssl s_client -connect server.com:443 -ssl3

Se você pode se conectar, está funcionando. Substitua ssl3 por ssl2 se desejar verificar o SSL2.

Sam Cogan
fonte
O que eu quero é desativar o 2.0, para que os clientes sejam forçados a usar o 3.0 ou o TLS 1.0.
precisa saber é o seguinte
11
Está tudo muito bem, mas se o cliente não suportar o 3.0 ou o TLS 1.0, eles não poderão se conectar
Sam Cogan
Eu não me preocuparia muito com os clientes sem o suporte ao SSL v3 / TLS 1.0 poder conectar-se. Estes protocolos têm sido apoiadas em navegadores comuns desde meados de 90 a: stackoverflow.com/questions/881563/...
Andy Holt
4

Aqui está a documentação oficial da Microsoft sobre como desativar um protocolo SSL específico.

O teste openssl é definitivamente o mais fácil. Existem distribuições binárias de openssl disponíveis para Windows.

MattB
fonte
Portanto, se eu desativar o 2.0, os clientes serão forçados a se conectar usando 3.0 ou TLS. Certo?
precisa saber é o seguinte
2
Está correto. Se um cliente suportar apenas o 2.0, ele não poderá se conectar.
MattB
3

openssl.exe s_client -connect localhost: 443 ou

http://www.foundstone.com/us/resources/proddesc/ssldigger.htm http://www.serversniff.net

opexxx
fonte
Como você usa "openssl.exe s_client -connect localhost: 443". Acho que não tenho o openssl.exe no servidor. Além disso, instalei a ferramenta SSLDigger, mas não sei como usá-la. Qualquer ajuda?
precisa saber é o seguinte
11
wahle509: Você pode obter o openssl para janelas aqui slproweb.com/products/Win32OpenSSL.html
Proy
0

Updated info for 2017 tech

Para visualizar apenas a versão atual do protocolo (não alterá-la)

Visite a página HTTPS em questão e clique no ícone de cadeado verde na barra de endereço do seu navegador. A partir daqui, você pode clicar para obter informações mais detalhadas, que incluem a versão do protocolo atualmente em uso.

Editar por comentário :
isso não permitirá que você encontre TODAS as versões disponíveis. Se você estiver executando o navegador mais recente, provavelmente só se conectará à versão TLS / SSL disponível mais recente. Para um teste rápido para garantir que você tenha a versão mais recente disponível, é uma escolha muito fácil.

KnightHawk
fonte
Isso não informa se outros protocolos menos seguros estão disponíveis. Um teste completo é importante.
ceejayoz