Como testar a intolerância da versão TLS?

Você pode usar a ferramenta de linha de comando OpenSSL para testar, por exemplo como ponto de partida:

$ openssl s_client -connect example.com:443 -verify 1 -tls1_2

Onde:

-tls1_2 - just use TLSv1.2

A ajuda ( openssl s_client -h ou man s_client ) descreve muitas outras opções - você pode, por exemplo, Especifique uma lista de cifras - também algo que um cliente / servidor restritivo / moderno pode definir explicitamente e que, portanto, pode resultar em conexões com falha - especialmente ao se conectar a / de um servidor / cliente antigo.

Um exemplo que mostra os diferentes resultados:

$ echo | openssl s_client -verify 1  -connect www.cebitec.uni-bielefeld.de:443
[..]
verify return:1
[..]
SSL-Session:
  Protocol  : TLSv1
  Cipher    : AES128-SHA
  Session-ID: [non-empty]
[..]
---
DONE
$ echo $?
0

Isso foi feito sem impor uma versão mínima, agora com o requisito do TLS 1.2:

$ echo \
  | openssl s_client -verify 1 -tls1_2 -connect www.cebitec.uni-bielefeld.de:443
[..]
[..]:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:347:
--
no peer certificate available
[..]
SSL-Session:
  Protocol  : TLSv1.2
  Cipher    : 0000
  Session-ID: 
  Session-ID-ctx: 
  Master-Key:
[..]
---
$ echo $?
1

Significa que o servidor não suporta o TLS 1.2.

Provavelmente porque ele usa uma versão bastante antiga do openssl.

Se o site estivesse na Internet, o link é uma ótima ferramenta para depurar esses problemas.

A resposta do maxschlepzig testará a intolerância especificamente, mas eu vi o material falhar por várias razões, incluindo as mais recentes chaves Diffie-Hellman, sua distro pode ter atualizado o NSS ou o OpenSSL para recusar chaves < = 768 bit . No passado eu vi coisas falharem por causa de um grande ClientHello, não compartilhando nenhuma cifra em comum, etc.

Para depurar problemas SSL / TLS em geral cipherscan é ótimo, mas não é possível teste de intolerância ainda . Outra ferramenta útil é o sslscan .