SSL 問題整理 | Fred's Blog

這一兩年爆發了很多的SSL漏洞問題，整理一下最近遇到的一些問題

1. 驗證SSL版本是否有關閉方式
2. Google Chrome 移除SHA-1
3. Google Chrome 判定網頁內容有不安全資源

1. 驗證SSL版本是否有關閉方式
Web Server

#openssl s_client -connect hostname:443 -ssl2

#openssl s_client -connect hostname:443 -ssl3

#openssl s_client -connect hostname:443 -tls1

#openssl s_client -connect hostname:443 -tls1_1

#openssl s_client -connect hostname:443 -tls1_1

#openssl s_client -connect hostname:443 -tls1_2

SMTP Server

#openssl s_client -connect hostname:25 -starttls smtp -ssl2

#openssl s_client -connect hostname:25 -starttls smtp -ssl3

#openssl s_client -connect hostname:25 -starttls smtp -tls1

#openssl s_client -connect hostname:25 -starttls smtp -tls1_1

#openssl s_client -connect hostname:25 -starttls smtp -tls1_2

CONNECTED(00000003)
139965340723016:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:430:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 45 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv2
    Cipher    : 0000
    Session-ID: 
    Session-ID-ctx: 
    Master-Key: 
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1420609805
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
此狀況是關閉---

2. Google Chrome 移除SHA-1
最近在2014/9 Google 發出消息準備要全面移除雜湊函數 SHA-1
可以在以下URL確認自己的憑證是否會被chrome列入不安全
http://sha1affected.com/