若有任何問題請來信:gss_crm@gss.com.tw
隨著資安意識抬頭,現在絕大多數的網站都有支援 https 連線,但只要用了 https 連線就一定安全嗎?
答案是否定的,隨著科技發展,舊有的加密協定設計缺陷慢慢浮現,使得攻擊者有機可趁。
本篇將介紹如何透過工具檢測主機連線使用的連線協定及加密演算法
SSL Server Test
SSL Server Test 是由 Qualys SSL Labs 所提供的免費線上檢測工具,可以快速的檢測出網站使用的加密協定及演算法給予對應的評分,亦會提供相關的修改建議
使用方式也十分簡單,開啟工具後,直接輸入要測試的網站 domain 按下 Submit ,等待一會兒的時間就可以看到完整的報告了
報告的開頭會顯示綜合評分,以 GitHub 為例,評分為 A+
接續可以看到這個網站使用的憑證及其詳細資訊
再來會顯示連線協定、加密演算法等設定,當有使用到過時的設定時會以橘色或紅色標記
sslscan
線上工具固然方便,但仍有一些限制 (例如:限制只有公司內部可以連線的主機,就無法透過線上工具測試) ,因此這邊將介紹另外一款檢測工具 sslscan,透過自己的電腦檢測這類連線受限的主機
1. 首先先到 sslscan 的 GitHub 將工具下載下來
其餘作業系統須自行將 source clone 下來編譯,編譯方式可參考 README
2. 開啟 command line 或是 Terminal ,切換至 sslscan 的目錄下
3. 輸入 ./sslscan (例如: 測試 GitHub ,則輸入 ./sslscan github.com) 就會開始檢測囉
檢測結果的前半段會顯示一些 TLS 的檢測資訊
接著會顯示伺服器目前支援的協定及加密方式,還有憑證的相關資訊
如果有使用到 SSLv2, SSLv3 等過時的協定亦會以紅色標記出來
以上介紹了兩款工具協助我們檢測主機連線使用的連線協定及加密演算法
在知道結果後,如果有使用到過時的加密協定或演算法該如何停用呢?
敬請期待下回:你的 HTTPS 連線安全嗎? - 設定篇