如何从RHEL / CentOS Shell验证远程Web服务器上是否支持TLS 1.2？

102

我使用的是CentOS 5.9。

我想从linux shell中确定远程Web服务器是否专门支持TLS 1.2（而不是TLS 1.0）。有没有简单的方法来检查？

我没有看到相关的选项，openssl但也许我忽略了一些东西。

— 迈克·B
source

Answers:

161

您应该使用openssl s_client，并且要查找的选项是-tls1_2。

一个示例命令是：

openssl s_client -connect google.com:443 -tls1_2

如果您获得了证书链和握手，您就会知道所讨论的系统支持TLS 1.2。如果看到看不到证书链，并且类似于“握手错误”，则说明它不支持TLS 1.2。您还可以分别使用-tls1或tls1_1测试TLS 1或TLS 1.1。

— 雅各布
source

并请记住，您将必须使用执行TLS 1.2的OpenSSL版本，这意味着CentOS 5是正确的。

— 迈克尔·汉普顿

在Mac OS X 10.11上不起作用

— Quanlong 2015年

Michael Hampton，仅OOB设置：[me @ server] [〜] cat / etc / redhat-release CentOS版本5.11（最终版）[me @ server] [〜] openssl版本OpenSSL 1.0.2d； 2015年7月9日；）

— Kevin_Kinsey

@Quanlong自制软件具有openssl v1.0.2。安装它然后运行它/usr/local/Cellar/openssl/1.0.2d_1/bin/openssl s_client -connect google.com:443 -tls1_2

— 肖

在brew upgrade openssl

— Quanlong 2015年

您还可以使用以下命令列出所有受支持的密码：

nmap --script ssl-enum-ciphers -p 443 www.example.com

然后检查输出。如果支持，您将获得以下内容：

|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors: 
|       NULL

— 胶水
source

尝试使此第三方脚本正常工作非常困难。为感兴趣的人写我的东西：在这里。

— Xavier Lucas

这对我来说很棒。

— colefner