快速檢測網站是否已關閉TLS 1.1/1.0-黑暗執行緒

要知道網站的TLS 開啟狀態，對外網站用Qualys SSL Labs 的免費線上檢測跑一下立見 ... 如下圖所示，若網站已關閉該協定，openssl 測試時應傳回error: ... 網站是否關閉TLS1.1/1.0是近期資安稽查的重點項目。

要知道網站的TLS開啟狀態，對外網站用QualysSSLLabs的免費線上檢測跑一下立見分曉。

但如果是內部網站，沒對外公開SSLLabs網站摸不到無從檢查，怎麼辦？爬文找到簡便方法-用openssl。

openssls_client-connectwww.ey.gov.tw:443-tls1 openssls_client-connectwww.ey.gov.tw:443-tls1_1 openssls_client-connectwww.ey.gov.tw:443-tls1_2 如下圖所示，若網站已關閉該協定，openssl測試時應傳回error:ssl_choose_client_version:unsupported等訊息，可藉此檢測是否已符合規定。

openssl.exe何處尋？接下來的疑問通常是-openssl.exe是Windows內建程式嗎？要去哪裡抓？裝一下GitforWindows就有了。

(記得順便活用Git，讓人生變彩色的)HintsofhowtocheckTLSsupportingstatusofinternalwebserver.ShareonFacebookShareonTwitterShareonGoogle+EmailComments#2021-03-0610:05AMby大元黑大在之前的文章有介紹過NAMP， https://blog.darkthread.net/blog/rdp-ssl-cipher-vulnerability/ 這篇沒有特別提及而是介紹openssl，想必是因為簡單使用，需求明確的使用情境吧！ 不知道是否可以這樣歸結各種工具的使用時機： 如果可以登入Server，使用RegEdit或IISCrypto可以用來確認與調整TLSClient/Server支援的TLS版本以及調整支援的CipherSuite； 如果只是要確認Server是否啟用特定的TLS版本，則使用openssl，如同本文的情境； 如果是要從Client端測試Server端支援的TLS版本以及CipherSuite等詳盡資訊則使用NMAP。

#2021-03-0606:55PMbyJeffreyto大元，謝謝你的使用時機整理，非常清楚。

我主要的考量是openssl在gitforWindows有附，普及率高且指令也簡單，如果單純只想知道TLS1.x有沒有開啟，測試開發人員不必裝軟體就能驗證，方便一些。

PostacommentCommentNameCaptcha13+1=黑暗執行緒黑暗後花園OrcsWeb:WindowsServerHosting2021-03-06Jeffrey快速檢測網站是否已關閉TLS1.1/1.0to大元，謝謝你的使用時機整理，非常清楚。

我主要的考量是openssl在gitfor...2021-03-06大元快速檢測網站是否已關閉TLS1.1/1.0黑大在之前的文章有介紹過NAMP， https://blog.darkthread.net/bl...