Sedmý test
Zjišťování vlastností SSL/TLS serverů.
V testu dostanete za úkol ověřit dva servery s podporou SSL/TLS – jak kvalitně je server nakonfigurován z hlediska bezpečnosti. Konkrétně odpovědět na následující otázky:
| podporuje protokol TLS 1.0 | ano/ne |
| podporuje protokol TLS 1.2 | ano/ne |
| podporuje protokol TLS 1.3 | ano/ne |
| vrací server mezilehlé certifikáty, | ano/ne |
| vrací server kořenový certifikát | ano/ne/selfsigned |
| vrací inf. o platnosti certifikátů (OCSP stapling) | ano/ne |
| hlavička Strict Transport Security (HSTS) | ano/ne/není HTTP |
| podporuje HTTP/2 | ano/ne/není HTTP |
Jeden ze serverů bude používat protokol https, druhý bude na jiném portu. Pro první budete moci využít on-line testy ze SSLLabs, druhý budete muset otestovat pomocí openssl (či testssl.sh)
V InSIS je připraven ukázkový e-test.
Ukázka odpovědí pro některé servery ze 4. listopadu 2020
| Otázka | bis.vse.cz:443 | eso.vse.cz:443 | ner.vse.cz:443 | bis.vse.cz:636 | vse.vse.cz:25 starttls smtp |
|---|---|---|---|---|---|
| TLS 1.0 | ne | ne | ne | ne | ano |
| TLS 1.2 | ano | ano | ano | ano | ano |
| TLS 1.3 | ano | ano | ano | ne | ne |
| mezilehlé certifikáty | ano | ano | ano | ano | ano |
| kořenový certifikát | ne | ne | ne | ne | ne |
| OCSP stapling | ano | ano | ano | ne | ne |
| Strict Transport Security | ano | ano | ano | není HTTP | není HTTP |
| podporuje HTTP/2 | ano | ne | ano | není HTTP | není HTTP |
V openssl 1.1.1 se vrácené informace u následujících dvou příkazů neliší:
openssl s_client -connect bis.vse.cz:443 -servername bis.vse.cz openssl s_client -connect bis.vse.cz:443
neboť openssl nově dle hodnoty za -connect doplní -servername. Liší se výsledky následujících dvou příkazů:
openssl s_client -connect 146.102.18.5:443 -servername bis.vse.cz openssl s_client -connect 146.102.18.5:443
Důvodem je Server Name Indication (SNI) - na stejné IP adrese je více webů. Vy máte testovat variantu se SNI podobně jako to dělá SSL Labs.
Změny:
- 25. listopadu 2017 - zrušil jsem test na SSLv3 a šifru RC4. Verze openssl na bis.vse.cz již nepodporuje protokol verze SSLv3 ani proudovou šifru RC4.
- 9. listopadu 2019 - doplnil jsem test TLS 1.3, zrušil jsem testování CSP (nevrací test na ssllabs) a TLS Session Ticket (změny v TLS 1.3)