====== Sedmý test ======

Zjišťování vlastností SSL/TLS serverů.

V testu dostanete za úkol ověřit dva servery s podporou SSL/TLS – jak kvalitně je server nakonfigurován z hlediska bezpečnosti. Konkrétně odpovědět na následující otázky:

|podporuje protokol TLS 1.0 |  ano/ne  |
|podporuje protokol TLS 1.2 |  ano/ne  |
|podporuje protokol TLS 1.3 |  ano/ne  |
|vrací server mezilehlé certifikáty, |  ano/ne  |
|vrací server kořenový certifikát |  ano/ne/selfsigned  |
|vrací inf. o platnosti certifikátů (OCSP stapling) |  ano/ne  |
|hlavička Strict Transport Security (HSTS) |  ano/ne/není HTTP  |
|podporuje HTTP/2 |  ano/ne/není HTTP  |

Jeden ze serverů bude používat protokol https, druhý bude na jiném portu. Pro první budete moci využít on-line testy ze SSLLabs, druhý budete muset otestovat pomocí openssl (či testssl.sh)

<WRAP round important 60%>
V InSIS je připraven ukázkový e-test.
</WRAP>

**Ukázka odpovědí pro některé servery ze 4. listopadu 2020**

^Otázka ^  bis.vse.cz:443  ^  eso.vse.cz:443  ^  ner.vse.cz:443  ^ bis.vse.cz:636  ^  vse.vse.cz:25\\ starttls smtp  ^
|TLS 1.0                  |  ne   |  ne   |  ne   |  ne  |  ano  | 
|TLS 1.2                  |  ano  |  ano  |  ano  |  ano  |  ano  | 
|TLS 1.3                  |  ano  |  ano  |  ano  |  ne   |  ne   | 
|mezilehlé certifikáty    |  ano  |  ano  |  ano  |  ano  |  ano  | 
|kořenový certifikát      |  ne   |  ne   |  ne   |  ne   |  ne  | 
|OCSP stapling            |  ano  |  ano  |  ano  |  ne   |  ne   | 
|Strict Transport Security|  ano  |  ano  |  ano  |  není HTTP  |  není HTTP  | 
|podporuje HTTP/2         |  ano  |  ne   |  ano  |  není HTTP  |  není HTTP  | 

----

V openssl 1.1.1 se vrácené informace u následujících dvou příkazů **neliší**:
<code>
  openssl s_client -connect bis.vse.cz:443 -servername bis.vse.cz
  openssl s_client -connect bis.vse.cz:443
</code>
neboť openssl nově dle hodnoty za -connect doplní -servername. **Liší** se výsledky následujících dvou příkazů:
<code>
  openssl s_client -connect 146.102.18.5:443 -servername bis.vse.cz
  openssl s_client -connect 146.102.18.5:443
</code>

Důvodem je [[https://en.wikipedia.org/wiki/Server_Name_Indication | Server Name Indication (SNI)]] - na stejné IP adrese je více webů. Vy máte testovat variantu se SNI podobně jako to dělá SSL Labs.

Změny:
  * 25. listopadu 2017 - zrušil jsem test na SSLv3 a šifru RC4. Verze openssl na bis.vse.cz již nepodporuje protokol verze SSLv3 ani proudovou šifru RC4.
  * 9. listopadu 2019 - doplnil jsem test TLS 1.3, zrušil jsem testování CSP (nevrací test na ssllabs) a TLS Session Ticket (změny v TLS 1.3)