Sådan tester du dine TLS-ciphers: openssl, nmap, testssl.sh, SSL Labs

Q: Hvordan tester jeg om en bestemt svag cipher er slået fra?

Tving den med openssl: openssl s_client -connect host:443 -cipher 'DES-CBC3-SHA'. Fejler handshaken, er ciphen korrekt afvist. Lykkes den, er den stadig tilladt og bør fjernes.

En cipher-konfiguration er kun værd noget hvis serveren faktisk håndhæver den — og det skal du verificere udefra, ikke gætte ud fra config-filen. Her er de fire værktøjer du har brug for: openssl s_client til hurtige tjek, nmap til en hel suite-liste, testssl.sh til en dyb sårbarhedsrapport, og SSL Labs til en delelig karakter. Med konkrete kommandoer og hvornår du vælger hvilket.

Kort svar

Brug openssl s_client til at se hvad én forbindelse forhandlede; nmap --script ssl-enum-ciphers til at liste alle suites serveren accepterer med en karakter; testssl.sh til en grundig rapport der også tester for de navngivne sårbarheder (SWEET32, POODLE m.fl.); og Qualys SSL Labs til en visuel A–F-karakter du kan dele. De første tre kan teste interne servere; SSL Labs kræver et offentligt domæne.

1. openssl s_client — det hurtige tjek

Indbygget overalt. Viser hvad præcis denne ene forbindelse forhandlede:

openssl s_client -connect example.com:443 -servername example.com

Kig på Protocol :, Cipher : og Server Temp Key:. Tving en bestemt version eller cipher for at teste om den er tilladt:

# Accepterer serveren TLS 1.0? (bør fejle)
openssl s_client -connect example.com:443 -tls1

# Accepterer serveren en svag cipher? (bør fejle)
openssl s_client -connect example.com:443 -cipher 'DES-CBC3-SHA'

Fejler de to sidste med no protocols available eller handshake failure, er det godt — det betyder serveren afviser dem. Se også hvad de forskellige handshake-fejl betyder.

2. nmap — hele listen med karakter

Det bedste enkeltværktøj til at se alt en server accepterer på én gang, og det virker også mod interne hosts:

nmap --script ssl-enum-ciphers -p 443 example.com

Outputtet grupperer per protokolversion, lister hver suite og giver serveren en samlet karakter (A–F). Et hvilket som helst C eller dårligere, en linje med 3DES/RC4/CBC, eller en TLS 1.0/1.1-sektion fortæller dig præcis hvad der skal fjernes — se hvorfor de gamle ciphers er farlige.

3. testssl.sh — den dybe rapport

Et open source-shellscript der tester alt: protokoller, ciphers, forward secrecy, certifikatet og alle de navngivne sårbarheder. Det går dybere end nmap og virker også internt:

# Fuld scanning
testssl.sh example.com

# Kun protokoller og ciphers
testssl.sh --protocols --ciphers example.com

# Kun de kendte sårbarheder (BEAST, POODLE, SWEET32, ...)
testssl.sh --vulnerable example.com

Outputtet farvekoder hvert fund, så NOT ok i rødt springer i øjnene. Det er det grundigste gratis værktøj til en engangsrevision af én server.

4. Qualys SSL Labs — den delelige karakter

Den webbaserede scanner på ssllabs.com/ssltest giver en visuel A+ til F-karakter med en detaljeret forklaring, og er fremragende til at dokumentere status over for ledelse eller en kunde. Begrænsningen: den kan kun teste offentligt tilgængelige domæner — interne servere er usynlige for den. Resultatet caches også, så husk "Clear cache" efter en ændring.

Hvilket værktøj hvornår?

Værktøj	Bedst til	Internt?
openssl s_client	Hurtigt enkelttjek	Ja
nmap	Hele suite-listen	Ja
testssl.sh	Dyb sårbarhedsrapport	Ja
SSL Labs	Delelig A–F-karakter	Nej

Det engangs-test ikke løser

Alle fire værktøjer giver et øjebliksbillede af én server du selv husker at teste. Det reelle problem i en organisation er at konfigurationen driver, og at ingen kører testssl mod alle hundrede endpoints hver uge — slet ikke mod de interne. CertControl automatiserer netop det: den prober alle jeres endpoints løbende (også interne via agenten), registrerer protokoller, cipher suites, key exchange og certifikat-egenskaber, og rejser en finding med severity når noget falder under jeres baseline. Værktøjerne ovenfor er perfekte til at undersøge ét fund i dybden — CertControl sikrer at du overhovedet ved at fundet findes. Forstå hvad resultaterne betyder i hvad er en cipher suite.

Ofte stillede spørgsmål

Hvilket værktøj er bedst til at teste interne servere?

nmap og testssl.sh, da de begge kan køre mod enhver host du har netværksadgang til. SSL Labs kan kun teste offentlige domæner. openssl s_client virker også internt til hurtige tjek.

Hvorfor giver SSL Labs og nmap nogle gange forskellige karakterer?

De vægter ikke nøjagtigt ens, og SSL Labs caches. Begge er pålidelige til at finde svage ciphers og protokoller; brug nmap/testssl til den tekniske detalje og SSL Labs til en delelig overordnet karakter.

Hvordan tester jeg om en bestemt svag cipher er slået fra?

Tving den med openssl: openssl s_client -connect host:443 -cipher 'DES-CBC3-SHA'. Fejler handshaken, er ciphen korrekt afvist. Lykkes den, er den stadig tilladt og bør fjernes.

Skal jeg installere testssl.sh, eller findes det online?

testssl.sh er et shellscript du henter fra dets GitHub-repo og kører lokalt — det giver mest detalje og kan teste interne hosts. Til en hurtig offentlig test online er SSL Labs det nemmeste.

Hvor ofte bør jeg teste?

En engangstest fanger problemet i dag, men konfiguration driver. Test efter hver ændring, og brug kontinuerlig scanning til løbende at fange de servere der falder ud af baseline mellem manuelle tests.

Se platformen Book demo