🍦

SSLSCANのオプション一覧

2024/08/31に公開

sslscanを使用してサイファースイートをよく調べるのですが、SNIを指定、IANA形式で表示、OCSPのステイタスをチェック等便利なオプションが多くありました。オプションの説明を日本語にし、よく使用すると思われるものを上位に記載しました。

コマンド:
  sslscan [options] [host:port | host]

オプション:
--iana-names         OpenSSL暗号名ではなくIANA/RFC暗号名を使用
--sni-name=<name>    SNIのホスト名
--show-certificate   完全な証明書情報を表示
--ocsp               サーバーからのOCSP応答を要求する
--no-cipher-details  楕円曲線暗号とEDH/RSA鍵長の出力を無効
--no-groups          鍵交換グループを列挙しない
--no-compression     TLS 圧縮をチェックしない (CRIME)
--no-heartbleed      OpenSSL Heartbleed (CVE-2014-0160) をチェックしない
--no-renegotiation   TLS再ネゴシエーションをチェックしない
--no-fallback        TLSフォールバックSCSVをチェックしない
--verbose            詳細な出力を表示
--targets=<file>     チェックするホストのリストを含むファイル
                     ホストにはポートを指定可能 (host:port)
--ipv4, -4           IPv4のみ使用
--ipv6, -6           IPv6のみ使用
--show-client-cas    TLSクライアント認証の信頼できるCAを表示
--no-check-certificate  弱い証明書アルゴリズムやキーについて警告しない
--pk=<file>          秘密鍵を含むファイル、又は秘密鍵/証明書のペアを含むPKCS#12ファイル
--pkpass=<password>  秘密鍵またはPKCS#12ファイルのパスワード
--certs=<file>       PEM/ASN1形式のクライアント証明書を含むファイル
--ssl2               SSLv2が有効になっているかどうかのみ確認
--ssl3               SSLv3が有効になっているかどうかのみ確認
--tls10              TLSv1.0暗号のみチェック
--tls11              TLSv1.1暗号のみチェック
--tls12              TLSv1.2暗号のみチェック
--tls13              TLSv1.3暗号のみチェック
--tlsall             TLS暗号のみチェック(すべてのバージョン)
--show-ciphers       サポートされているクライアント暗号を表示
--show-cipher-ids    暗号IDを表示
--show-times         ハンドシェイク時間をミリ秒単位で表示
--no-ciphersuites    サポートされている暗号スイートをチェックしない
--show-sigs          署名アルゴリズムを列挙
--starttls-ftp       FTP用のSTARTTLS設定
--starttls-imap      IMAP用のSTARTTLS設定
--starttls-irc       IRC用のSTARTTLS設定
--starttls-ldap      LDAP用のSTARTTLS設定
--starttls-mysql     MYSQL用のSTARTTLS設定
--starttls-pop3      POP3用のSTARTTLS設定
--starttls-psql      PostgreSQL用のSTARTTLS設定
--starttls-smtp      SMTP用のSTARTTLS設定
--starttls-xmpp      XMPP用のSTARTTLS設定
--xmpp-server        サーバー間XMPPハンドシェイクを使用
--rdp                スキャンを開始する前にRDPプリアンブルを送信
--bugs               SSL実装のバグ回避策を有効
--no-colour          カラー出力を無効
--sleep=<msec>       接続要求間の一時停止。デフォルトでは無効
--timeout=<sec>      ソケットのタイムアウトを設定。デフォルトは3秒
--connect-timeout=<sec>  接続タイムアウトを設定。デフォルトは75秒
--version            プログラムのバージョンを表示
--xml=<file>         結果をXMLファイルに出力。STDOUTの場合は - を使用
--help               ヘルプテキストを表示

サンプル:
  sslscan 127.0.0.1
  sslscan [::1]

以下のバージョンのヘルプ内容を確認しました。

sslscan --version
2.1.2
OpenSSL 3.0.13 30 Jan 2024

コマンド実行例
SSL/TLSバージョン、IANA形式でサイファースイートのみを表示

sslscan --iana-names --no-cipher-details --no-groups --no-compression --no-heartbleed --no-renegotiation --no-fallback --no-check-certificate www.google.com

証明書の詳細を表示

sslscan --show-certificate www.google.com

SNIを指定

 sslscan --sni-name=www.sakura.ad.jp site-113401987442.gslb12.sakura.ne.jp

Discussion