🍦
SSLSCANのオプション一覧
sslscanを使用してサイファースイートをよく調べるのですが、SNIを指定、IANA形式で表示、OCSPのステイタスをチェック等便利なオプションが多くありました。オプションの説明を日本語にし、よく使用すると思われるものを上位に記載しました。
コマンド:
sslscan [options] [host:port | host]
オプション:
--iana-names OpenSSL暗号名ではなくIANA/RFC暗号名を使用
--sni-name=<name> SNIのホスト名
--show-certificate 完全な証明書情報を表示
--ocsp サーバーからのOCSP応答を要求する
--no-cipher-details 楕円曲線暗号とEDH/RSA鍵長の出力を無効
--no-groups 鍵交換グループを列挙しない
--no-compression TLS 圧縮をチェックしない (CRIME)
--no-heartbleed OpenSSL Heartbleed (CVE-2014-0160) をチェックしない
--no-renegotiation TLS再ネゴシエーションをチェックしない
--no-fallback TLSフォールバックSCSVをチェックしない
--verbose 詳細な出力を表示
--targets=<file> チェックするホストのリストを含むファイル
ホストにはポートを指定可能 (host:port)
--ipv4, -4 IPv4のみ使用
--ipv6, -6 IPv6のみ使用
--show-client-cas TLSクライアント認証の信頼できるCAを表示
--no-check-certificate 弱い証明書アルゴリズムやキーについて警告しない
--pk=<file> 秘密鍵を含むファイル、又は秘密鍵/証明書のペアを含むPKCS#12ファイル
--pkpass=<password> 秘密鍵またはPKCS#12ファイルのパスワード
--certs=<file> PEM/ASN1形式のクライアント証明書を含むファイル
--ssl2 SSLv2が有効になっているかどうかのみ確認
--ssl3 SSLv3が有効になっているかどうかのみ確認
--tls10 TLSv1.0暗号のみチェック
--tls11 TLSv1.1暗号のみチェック
--tls12 TLSv1.2暗号のみチェック
--tls13 TLSv1.3暗号のみチェック
--tlsall TLS暗号のみチェック(すべてのバージョン)
--show-ciphers サポートされているクライアント暗号を表示
--show-cipher-ids 暗号IDを表示
--show-times ハンドシェイク時間をミリ秒単位で表示
--no-ciphersuites サポートされている暗号スイートをチェックしない
--show-sigs 署名アルゴリズムを列挙
--starttls-ftp FTP用のSTARTTLS設定
--starttls-imap IMAP用のSTARTTLS設定
--starttls-irc IRC用のSTARTTLS設定
--starttls-ldap LDAP用のSTARTTLS設定
--starttls-mysql MYSQL用のSTARTTLS設定
--starttls-pop3 POP3用のSTARTTLS設定
--starttls-psql PostgreSQL用のSTARTTLS設定
--starttls-smtp SMTP用のSTARTTLS設定
--starttls-xmpp XMPP用のSTARTTLS設定
--xmpp-server サーバー間XMPPハンドシェイクを使用
--rdp スキャンを開始する前にRDPプリアンブルを送信
--bugs SSL実装のバグ回避策を有効
--no-colour カラー出力を無効
--sleep=<msec> 接続要求間の一時停止。デフォルトでは無効
--timeout=<sec> ソケットのタイムアウトを設定。デフォルトは3秒
--connect-timeout=<sec> 接続タイムアウトを設定。デフォルトは75秒
--version プログラムのバージョンを表示
--xml=<file> 結果をXMLファイルに出力。STDOUTの場合は - を使用
--help ヘルプテキストを表示
サンプル:
sslscan 127.0.0.1
sslscan [::1]
以下のバージョンのヘルプ内容を確認しました。
sslscan --version
2.1.2
OpenSSL 3.0.13 30 Jan 2024
コマンド実行例
SSL/TLSバージョン、IANA形式でサイファースイートのみを表示
sslscan --iana-names --no-cipher-details --no-groups --no-compression --no-heartbleed --no-renegotiation --no-fallback --no-check-certificate www.google.com
証明書の詳細を表示
sslscan --show-certificate www.google.com
SNIを指定
sslscan --sni-name=www.sakura.ad.jp site-113401987442.gslb12.sakura.ne.jp
Discussion