如何檢查有沒有SSL renegotiation 功能

作者: cross 日期: 2011-12-29 17:22

字體大小: 小中大

如何檢查server的 SSL是否支援 renegotiation功能
輸入，連線到ssorc.tw的443

openssl s_client -connect ssorc.tw:443

(省略)
(# 輸入以下兩行)
HEAD / HTTP/1.0
(# R 是要求重新談判)
R
RENEGOTIATING
5115:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:529:

出現error 後跳出，就代表不支援

如果是再出現憑證資訊就是有支援

目前測試 centos 4.8 ， mod_ssl 為mod_ssl-2.0.52-38.ent.centos4.2 就會有SSL renegotiation

我把它更新到 2.0.52-49.ent.centos4 (連同 httpd也update了)，再行測試就不會有SSL renegotiation

測試 CentOS release 5.7，當下的mod_ssl為mod_ssl-2.2.3-22.el5.centos.2，升級至 2.2.3-53.el5.centos.3，也是不會有SSL renegotiation

只要升級就ok了~~嗎!!! (保留疑問)

ref: http://blog.ivanristic.com/2009/12/testing-for-ssl-renegotiation.html
ref: http://www.gremwell.com/really_testing_for_ssl_tls_renegotiation