クライアントの機能を確認できるように、どのWebサイトがTLS 1.2のみを受け入れますか?
アプリケーションが正常に安全に接続できるかどうかをテストできるように、TLS 1.2接続のみを受け入れる公的にアクセス可能なWebサイトはありますか?
バックグラウンド:
古いVB.NETアプリケーションをWindows Server 2008 R2(64ビット)で実行しています。
次のようなコードがあります。
Dim req As New MSXML2.ServerXMLHTTP30
req.open("POST", "https://example.com", False)
私が読んだ内容から 、ServerHTMLHTTPはSChannelを使用しており、アプリケーションレベルで使用されるプロトコルを制御できません。
Windows Server 2008 R2はTLS 1.2をサポートする必要があります なので、アプリは機能するのではないかと思いますが、TLS 1.2のみを受け入れるサイトに接続して確認したいと思います。
SSLLabs
@schroederがコメントで指摘したように、このサイトはクライアントの機能を評価し、応答でそれらについて報告します。
https://www.ssllabs.com/ssltest/viewMyClient.html
短所:
- 応答は、ブラウザでの人間の消費を目的として設計されています。応答が有効な応答を与えるためにJavaScriptを必要とするかどうかは明確ではありません。アプリを実行しているWindows 10マシンとアプリを実行しているWindows Server 2008 R2サーバーの間で異なる応答を示すことができたため、これは必要ではないようです。
- このサイトはPOSTを許可していません。 GETが必要です。アプリはどちらの方法でも構成できますが、構成できないものもあります。
- サイトは、動作するサイトの動作をエミュレートする方法でTLS 1.2を必要としません。
FancySSL
@ paj28がコメントで指摘したように、このサイトはTLS 1.2が利用可能な場合にのみ機能します。
短所:
- これは個人のサイトのようであり、Googleのランクは良好ですが、長期的に安定したソリューションとは思えません。
- @ dave_thompson_085によると 、 fancyssl.hboeck.deは、クライアントがSNIを送信せず、再ネゴシエーションを処理しない(または誤って処理する)場合、正しく機能しない可能性があります 。
結果
残念ながら、このアプリはWindows 2008 R2ではシームレスに機能しませんでした。 FancySSLサイトを試してみると、次のエラーが発生しました。
ハンドルは要求された操作に対して誤った状態です
SSLLabsサイトを試すと、次の結果が得られました。
- TLS 1.2:いいえ
- TLS 1.1:いいえ
- TLS 1.0:はい*
- SSL 3:はい*
- SSL 2:いいえ
(*)JavaScriptを使用しない場合、このテストはサポートされている最も高いプロトコルのみを確実に検出します。
Windows 10またはWindows Server 2012 R2で同じアプリを実行すると、アプリでエラーが発生せず、SSLLabsはTLS 1.2が利用可能であると報告します。
私が発見した別のオプション:
ウェブサイト: https://badssl.com/ は、さまざまなサブドメインを使用してさまざまなバージョンのTLSをサポートしているため、さまざまなバリエーションをテストできます。
このサブドメインとポートはTLSv1.2のみをサポートします
https://tls-v1-2.badssl.com:1012/
このサブドメインとポートはTLSv1.1のみをサポートします
https://tls-v1-1.badssl.com:1011/
このサブドメインとポートはTLSv1.0のみをサポートします
https://tls-v1-0.badssl.com:1010/
もっと。そして、そのドメインが何らかの理由で消えた場合、そのソースは ここではGithub です。
@ paj28は私たちを良い方向に向けているようです:
openssl s_server -tls1_2
エミュレートされたTLSサーバーを起動して、クライアントから接続できます。どの設定が必要か、または正確に何を接続するとわかるかはわかりませんが、ニーズに合わせて使用できる優れた軽量のローカルリソースです。