因為工作的關係,客戶常常會遇到舊有網站安全性不佳,被要求改善的情況。最基本的包含 停用 SSL 2.0、SSL 3.0,只能使用 TLS 1.2;另一方面,站台所使用的演算法可能也面臨安全性較低的情況,如 停用 DES、RC4 ..等。

您想知道自己的網站是否安全嗎? 當您辛苦改善這些問題後,如何確認沒有問題?   其實您可以透過 SSLScan 工具掃描自己的網站。 您可以在 GitHub 找到 sslscan 開源專案,檢視其相關內容。 接下來,我們將簡單介紹如何在 Windows 環境與 Linux 環境下使用 sslscan 掃描您的網站。





Windows 環境

您可以前往 Release 頁面進行下載。




解壓縮後,可以看見兩個檔案,分別是 sslscan.exe 與 sslscan.sig。接下來,開啟命令提示字元 (cmd),並且切換目錄到 sslcan.exe 所在位置 (您可以如下圖所示,於路徑欄上輸入 cmd 後按下enter,直接呼叫 cmd。



查詢的指令相當簡單,只需要輸入 sslscan.exe [url]:[port] 即可開始查詢。如下範例:



sslscan 會顯示您網站所使用的 SSL/TLS protocols 狀況,以及伺服器支援的演算法。綠色部分表示合格;黃色部分表示警告;紅色部分為不建議使用。





Linux 環境


您可以透過指令進行安裝與執行,首先先安裝需要的套件



輸入下列指令從 GitHub 進行 Clone 與編譯:




最後只需要透過 ./sslscan  [url]:[port] 指令即可進行查詢: