Après la mise à jour vers Mozilla Firefox 38, nous avons pu voir le message "Échec de la connection sécurisée" sur quelques sites HTTPS.
Si nous mettons les sites sur la list d'exclusion avec "security.tls.insecure_fallback_hosts" – alors nous pouvons voir qu'il peut se connecter via TLSv1.2 (en utilisant https://addons.mozilla.org/en-us/firefox/addon/calomel -ssl-validation / )
Nous suspectons que le problème avec les servers est dû à l'intolérance à la version TLS.
Question : Existe-t-il des scripts, des solutions pour tester un server web donné sur un port donné qui a une intolérance à la version TLS ou pas? Les servers ne sont pas publiquement sur Internet.
Vous pouvez utiliser l'outil de command line OpenSSL pour tester, par exemple comme sharepoint départ:
$ openssl s_client -connect example.com:443 -verify 1 -tls1_2
Où:
-tls1_2 – utilisez simplement TLSv1.2
L'aide ( openssl s_client -h
ou man s_client
) décrit de nombreuses autres options – vous pouvez par exemple spécifier une list de chiffrement – aussi quelque chose qu'un client / server ressortingctif / moderne peut explicitement définir et qui pourrait entraîner des échecs de connection – depuis un ancien server / client.
Un exemple qui montre les différents résultats:
$ echo | openssl s_client -verify 1 -connect www.cebitec.uni-bielefeld.de:443 [..] verify return:1 [..] SSL-Session: Protocol : TLSv1 Cipher : AES128-SHA Session-ID: [non-empty] [..] --- DONE $ echo $? 0
C'était sans imposer une version minimale, maintenant avec TLS 1.2 exigence:
$ echo \ | openssl s_client -verify 1 -tls1_2 -connect www.cebitec.uni-bielefeld.de:443 [..] [..]:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:347: -- no peer certificatee available [..] SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: [..] --- $ echo $? 1
Cela signifie que le server ne prend pas en charge TLS 1.2.
Probablement parce qu'il utilise une version assez ancienne d'openssl.
Si le site était sur Internet, https://www.ssllabs.com/ssltest/ est un excellent outil pour déboguer ces problèmes.
La réponse de maxschlepzig testera spécifiquement l'intolérance, mais j'ai vu des choses échouer pour une multitude de raisons différentes, y compris les plus récentes faibles keys Diffie-Hellman, votre distro aurait pu mettre à jour NSS ou OpenSSL pour refuser les keys <= 768 bits. Par le passé, j'ai vu des choses échouer à cause d'un gros ClientHello, ne partageant aucun chiffre en commun, etc.
Pour déboguer les problèmes SSL / TLS en général, cipherscan est génial, mais il ne peut pas encore tester l'intolérance . Un autre outil utile est sslscan .