sslscanというツールを使用して確認する。
https://github.com/rbsec/sslscan
コンパイルに必要なライブラリのインストール
yum install -y git gcc zlib-devel
GitからClone
git clone https://github.com/rbsec/sslscan.git
make実行
cd sslscan/
make static
確認
※バージョン番号にstaticと表示され、OpenSSLがdevであればOK
./sslscan --version
1.11.11-rbsec-static
OpenSSL 1.0.2-chacha (1.0.2g-dev)
使い方
sslscan 192.168.1.1:443
接続可能な暗号スイートのみ表示させる場合
sslscan --no-failed 192.168.1.1:443
このエラーはSSLv2をチェックしようとした際にopensslがSSLv2をすでにサポートしていないため発生するエラー
ERROR: Could not create CTX object.
ERROR: Scan has failed for host 192.168.11.101
SSL/TLSのバージョンを指定したい場合は以下
sslscan --no-failed --ssl3 192.168.xx.xxx:8443
sslscan --no-failed --tsl1 192.168.xx.xxx:8443
sslscan --no-failed --tsl11 192.168.xx.xxx:8443
sslscan --no-failed --tsl12 192.168.xx.xxx:8443
出力結果
OpenSSL書式で出力されるため、OpenSSLドキュメントサイトからRFC表記とのマッピングを参照のこと。
Supported Server Cipher(s):
Accepted TLSv1 128 bits ECDHE-RSA-AES128-SHA
Accepted TLSv1 128 bits DHE-RSA-AES128-SHA
Accepted TLSv1 112 bits ECDHE-RSA-DES-CBC3-SHA
Accepted TLSv1 112 bits EDH-RSA-DES-CBC3-SHA
Accepted TLS11 128 bits ECDHE-RSA-AES128-SHA
Accepted TLS11 128 bits DHE-RSA-AES128-SHA
Accepted TLS11 112 bits ECDHE-RSA-DES-CBC3-SHA
Accepted TLS11 112 bits EDH-RSA-DES-CBC3-SHA
Accepted TLS12 128 bits ECDHE-RSA-AES128-GCM-SHA256
Accepted TLS12 128 bits ECDHE-RSA-AES128-SHA256
Accepted TLS12 128 bits ECDHE-RSA-AES128-SHA
Accepted TLS12 128 bits DHE-RSA-AES128-GCM-SHA256
Accepted TLS12 128 bits DHE-RSA-AES128-SHA256
Accepted TLS12 128 bits DHE-RSA-AES128-SHA
Accepted TLS12 112 bits ECDHE-RSA-DES-CBC3-SHA
Accepted TLS12 112 bits EDH-RSA-DES-CBC3-SHA