Il est parfois utile de vérifier quelles versions du protocole SSL sont acceptées par un serveur Web. Les anciennes versions sont considérées faibles et peuvent permettre des attaques de l’homme du milieu & co.
Une possibilité est d’utiliser openSSL, notamment la version pour Windows:
La syntaxe est de la forme:
openssl s_client -connect www.google.fr:443
Par défaut, il négociera la meilleure version. Pour forcer le SSLV2:
openssl s_client -connect www.google.fr:443 -ssl2
Ou au contraire le SSLV3:
openssl s_client -connect www.google.fr:443 -ssl3
Une autre chose intéressante, les ciphers autorisés:
—
Ciphers common between both SSL endpoints:
RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5
EXP-RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5
—
SSL handshake has read 1004 bytes and written 239 bytes
—
New, SSLv2, Cipher is DES-CBC3-MD5
Server public key is 1024 bit
Compression: NONE