SSL 3.0 無効化 確認方法(opensslコマンド)

SSL 3.0の問題は対応済みでしょうか? 以前、Apache+mod_sslでのSSL 3.0無効化手順 をまとめましたが、本当にSSL3.0が無効になっているかを確認する方法をご紹介いたします。

実行は Apache+mod_sslが動いているサーバーや外部の端末のどちらからでも確認できます。 この確認方法は、サーバーに依存せずに SSL3.0が有効になっていないことを確認する方法ですので、NginxやIISなどの確認にも使用できます。

SSL3.0が無効になっているかの確認コマンド

実行するコマンドは、以下の通り

[shell] echo x | openssl s_client -ssl3 -connect [hostname]:[port] [/shell]

実際に SSL3.0を無効にしたサーバーにコマンドを実行すると、次のような応答があります。

[shell] $ echo x | openssl s_client -ssl3 -connect localhost:443
CONNECTED(00000003)
140735226364752:error:14094410:SSL routines:SSL3_READ_BYTES:
sslv3 alert handshake failure:s3_pkt.c:1275:SSL alert number 40
140735226364752:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:
ssl handshake failure:s3_pkt.c:598:
—
no peer certificate available
…(略)
[/shell]

最初の「sslv3 alert handshake failure」が表示されていれば SSL3.0が無効になっています。

設定したつもりで設定忘れなどがあると大変ですので、コマンドを実行して 確実にSSL3.0が無効になっているかの確認が必要です。