我想确保一个SSL / TLS连接是真的在端口465上对我的SMTP服务器进行的。(服务器在Ubuntu 14.04上运行)
使用: –
openssl s_client -connect example.co.uk:465
我得到如下所示的答复…
注意我得到的消息: –
“validation返回码:20(无法获得本地签发者证书)”
但是,我可以继续与EHLO和AUTH LOGIN的对话。
这是否意味着我是“不”在一个安全的连接,并继续未encryption?
谢谢约翰
CONNECTED(00000003) --- Certificate chain 0 s:/CN=example.co.uk i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 i:/O=Digital Signature Trust Co./CN=DST Root CA X3 --- Server certificate -----BEGIN CERTIFICATE----- <removed for clarity> -----END CERTIFICATE----- subject=/CN=example.co.uk issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 --- No client certificate CA names sent --- SSL handshake has read 3050 bytes and written 509 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-DES-CBC3-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-DES-CBC3-SHA Session-ID: 5728D30BFCCB912A3DEC177610B5CF260F35B9E0F2E6F8E51FC8B59B80E377FD Session-ID-ctx: Master-Key: 2E2B2E3A9AD05E4F8DF346C3E0C017ED2E8203D8C8391391F8F0042065FE7688DA8D836B5C31E3A5F9C77E8353CFA10C Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1462293259 Timeout : 300 (sec) Verify return code: 20 (unable to get local issuer certificate) --- 220 example.co.uk - Xeams SMTP server; Version: 4.9 - build: 5819; 5/3/16 5:34 PM 250-april.example.co.uk. Please to meet you 250-SIZE 20971520 250-AUTH LOGIN 250-AUTH=LOGIN 250 OK --- 220 example.co.uk - Xeams SMTP server; Version: 4.9 - build: 5819; 5/3/16 5:37 PM EHLO example.co.uk 250-april.example.co.uk. Please to meet you 250-SIZE 20971520 250-AUTH LOGIN 250-AUTH=LOGIN 250 OK AUTH LOGIN 334 VXNlcm5hbWU6
这是否意味着我是“不”在一个安全的连接,并继续未encryption?
不,这是encryption好吧。 但是它没有被authentication。 所以虽然我们知道我们正在进行一个encryption的对话,但我们并不知道与谁对话。
这表明连接已encryption:
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-DES-CBC3-SHA
您正在使用s_client
而不将path提供给受信任的CA. OpenSSL不再默认信任任何CA. 我想它曾经有过,但在5年前停止了。 从那时起,这个无法find本地发行者的错误是你得到的每一个连接。
但是这就是说:直接找一些更好的,明确devise来testing和评估SSL / TLS连接: http : //testssl.sh/ 。
这是围绕OpenSSL的一个很好的包装。
您也可以尝试这些testingencryption的SMTP: http : //checktls.com/,https : //www.htbridge.com/ssl/ 。
从你的问题输出,build议你使用SSL
的连接。
非SSL输出将如下所示:
$ openssl s_client -connect alexus.biz:80 CONNECTED(00000003) 139684765820832:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:769: --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 7 bytes and written 247 bytes --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE --- $