#はじめに
TLS1.0と1.1を無効にすべく設定をポチポチ確認していたのですが、ツール使ったほうがいいよ!と先輩に勧められたので試しに動かしてみました。
本当はもう少し理解が進んでから記事化しようかなと思ったのですが、よくわからなさすぎたのでもうupしますw
こちらのブログ記事を参考にさせていただきました。ありがとうございますの一言!
https://ozuma.hatenablog.jp/entry/20150320/1426841511
#作業環境
mac
クラウドに構築したオンプレのサービス
#作業開始
##読んで作業手順を作成
リンクでご紹介したブログ記事を読む。
1周目→理解度10%くらい
2周目→あんま変わらん
ので、とりあえず動かしたいw
ブログでもリポジトリのREADMEでも書いてあるとおり、以下でstaticなライブラリを使ってビルドできるようです。
$ make static
リポジトリはこちら!
https://github.com/rbsec/sslscan/
で、ビルド後のスキャン実行は
$ sslscan ”スキャン対象サーバのIP”
らしいので、ローカルに落としてそこから実行できるんじゃね?と勝手に推測。
よってもうとりあえずえいやでやる判断をここでします。
※最初各サーバに落としてlocalhostとか指定して実行するもんかと思ってました
##ローカルにビルド
ホームディレクトリに適当なフォルダを作成し、git clone→make staticまでガッと実行。
ほげえええええ!ビルドなげええええ!て感じでしたが目立ったエラーなく完了。
これステージングとかで試してたら冷や汗出てたと思います。実際ビルド中はmacちゃんのファン全開やったし。
##スキャン実行
ステージングのサーバ(社内のグローバルのみ許可)で実行してみました。
つらつらとログは出る、色も分かれてて良い感じ!ただログの見方がわからんw
というわけで、サービスのUIでTLSを制御できるサーバでテストしてみました。
TLS1.0〜1.2が有効化されているサーバだと以下のような出力になります。
※かなり省略してます
$ ./sslscan ”サーバのIP”
Supported Server Cipher(s):
Accepted TLSv1.2
Accepted TLSv1.1
Accepted TLSv1.0
サービスのUIからTLS1.0,1.1を無効化して。。
もう一度実行。
$ ./sslscan ”IP”
Supported Server Cipher(s):
Accepted TLSv1.2
おお!てことは設定変更した後にsslscanしてこの箇所を見れば良さそうですね。
#おわりに
確認手順はこれでよさげなので、次はTLSを有効/無効にする手順の調査。
sslscanの使い方が間違っている可能性もなくはないのでw、また追記しますね。
本記事がどなたかのお役にたちますように:)