SSL类安全问题验证

00 前言

00. 前言

最近博客更新有点少,比较忙,今天抽空把SSL类证书的安全问题都理一遍

预备知识:Linux基础操作,bash相关

—-坑点1—–
不要从Windows上下载工具再移到Linux中

Windows的保存文本方式换行为\r,从Windows下载的sh脚本会自动加上\r导致出错

图示如下

01. 总要概述

一条命令即可:

./testssl.sh -4 -O -p <Domain or IP>


SSL 2.0不推荐使用的协议会显示

SSLv2 offered (NOT ok), also VULNERABLE to DROWN attack -- 2 ciphers

检测到RC4密码套件

RC4 (CVE-2013-2566, CVE-2015-2808) VULNERABLE (NOT ok): RC4-SHA RC4-MD5 RC4-MD5

狮子狗攻击(支持SSLv3)

POODLE, SSL (CVE-2014-3566) VULNERABLE (NOT ok), uses SSLv3+CBC (check TLS_FALLBACK_SCSV mitigation below)


参考图在这里

小于2048位的SSL证书公钥使用参数 --wide 或者直接在浏览器查看证书位数

02. 详细情况

testssl 官方GitHub下载地址点击这里

官方使用参考链接点击这里


参数详解参考官方使用手册

-4 为RC4密码套件

-O 为POODLE (狮子狗攻击)

-p 为检查TLS / SSL协议(包括SPDY / HTTP2)


03. 总结

这工具不错,后续有其他需求再继续补充


-------------本文结束  感谢您的阅读-------------