OpenSSLは、サーバーが使用する痕跡を残しますか?
バナーは、サーバーがOpenSSLを使用しているかどうかについての洞察を与えることができるのではないかと考えていました。サーバーがOpenSSLを使用していることを示す兆候はありますか?
-明確化:
外部の言葉で話す;のように、WebまたはShodanを調べた場合、OpenSSLを使用するサーバーを特定する方法はありますか?
警戒している人には、サーバーが脆弱かどうかを確認する必要があるので、私はただ尋ねています。
-可能な方法:
私はこれを http://www.hacklabs.com/team-penetration-testing/2014/4/8/testing-for-the-tls-heartbleed-vulnerability.html で見つけました:
$ openssl s_client -connect server.com:443 -tlsextdebug | grep “server extension”
これは、server.comがopensslを使用しているかどうかを識別する方法ですか?
一部のサーバーは、HTTPS要求からのHTTP応答ヘッダーでOpenSSLバージョンをアドバタイズします。例:
Server: Apache 2.2.16 (Debian) mod_ssl/2.2.16 OpenSSL/0.9.8o
これらのヘッダーは無効にすることも、このレベルの詳細を含めないこともできます(多くの場合、含まれていません)。したがって、OpenSSLが言及されていない場合でも、サーバーがそれを使用していないことを意味するわけではありません。