Как проверить поддержку SSLv2Hello с помощью openssl s_client?
У меня есть Tomcat с включенными TLS1 и SSLv2Hello в sslEnabledProtocols, но я хотел бы проверить, действительно ли работает обновление hello для клиента SSLv2Hello. Я не смог найти ничего в документации openssl s_client о том, как установить соединение SSLv2hello с сервером.
Вы должны полностью отключить поддержку SSL2. Он был признан уязвимым и устаревшим в 1996 году (!). Вам, вероятно, придется скомпилировать OpenSSL самостоятельно, чтобы включить его поддержку, я не вижу вообще никаких причин для этого.
Так что, если вы действительно не можете объяснить, зачем вам SSLv2, просто придерживайтесь TLS1 для шифрования .. .
Вы можете убедиться, что ваш сервер не поддерживает SSLv2, используя версии OpenSSL до 1.0.2e (которые все еще поддерживают SSLv2) и выполнив
openssl s_client -ssl2 -brief -connect example.com:443
Он должен читать: write: errno = 104
Эта команда поможет проверить, что SSLv3 также отключен:
openssl s_client -ssl3 -brief -connect example.com:443
Должно читаться примерно так:
140547360663192:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:s3_pkt.c:1472:SSL alert number 40
140547360663192:error:1409E0E5:SSL routines:ssl3_write_bytes:ssl handshake failure:s3_pkt.c:656: