本文详细介绍了 MySSL 检测工具的概念、使用方法、检测报告的结果及其解读等信息。

什么是 MySSL

MySSL 是 TrustAsia 推出的一款快速检测服务器 SSL 部署情况的在线检测工具,帮助各大站长或运维人员快速找到在部署 SSL 证书中存在的问题。同时还提供 DNS 诊断工具 CSR 生成证书格式转换等小工具。

如何使用 MySSL

获取安全评级

  • 访问 MySSL 官网
  • 输入需要检测的域名,并点击【立即检测】按钮

    MySSL检测UI

    注意:若针对非 443 端口的 SSL 状态进行检测,在输入域名时,带上对应的端口即可。

  • 显示评级结果等信息

    MySSL检测结果

    注意

    • 评级达到 B 以上,表明在安全性和兼容性方面都能符合 HTTPS 最佳安全实践的要求。
    • 有关评级结果的详细解读,参阅本文下方评级结果章节。

设置证书到期提醒

选择【证书到期提醒】选项,然后输入邮箱,或者微信扫描二维码订阅证书到期提醒。

设置证书到期提醒

如何设置证书到期提醒

查看检测报告

你可以通过浏览网页页面滚动鼠标来查看检测报告,或通过微信扫描二维码查看完整的检测报告。

查看检测报告

注意

  • 由于对同一域名、IP和端口的最新检测报告要缓存一段时间。因此,如果发现报告上的检测时间参数不正确,点击右上角的【刷新报告】按钮再查看。
  • 有关检测结果的详细解读,参阅本文下方检测报告章节。

评级结果

如何计算

主要通过对支持的协议支持的加密套件的安全性密钥交换的安全性这三个因素,按比例打分聚合,最高分为 100。

得分 评级
>=80 A
>=65 B
>=50 C
>=35 D
>=20 E
<20 F

评分等级

通过得分,结合漏洞以及一些特殊情况的固定评级进行综合打分,得到最后的总评级。目前评级一共分为 9 个等级,依次是:A+AA-BCDEF,还有一个特殊等级 T

  • A+:该评级是目前最好的评级,表示服务器的 SSL 部署状况良好,并启用了一些额外的类似于 HSTS 的措施。
  • A:该评级也表示服务器的 SSL 部署情况良好。
  • A-:该评级也表示服务器的 SSL 部署情况良好,但是没有优先使用支持 PFS 特性的加密套件。
  • B:该评级并不代表服务器 SSL 的部署情况有问题,但不影响正常的安全性。 得到该评分的原因有以下几种可能:
    1. RSA证书的公钥强度小于2048或者ECC证书的公钥强度小于224
    2. 服务器支持SSL3协议
    3. 服务器支持RC4系列的加密套件并没有在TLS1.2TSL1.1上优先使用
    4. 服务器部署的证书链不完整,缺失CA证书
    5. 服务器使用弱的DH参数
    6. 页面存在不安全的外链
  • C:从这个评级开始,就都代表服务器的 SSL 部署存在一些问题,会影响安全性。 得到该评级的原因有以下几种可能:
    1. 服务器易受到 CRIME 漏洞的攻击
    2. 服务器没有使用 TLS1.2 协议
    3. 服务器在 TLS1.2TLS1.1 协议上优先使用 RC4 系列的加密套件
    4. 服务器易受到 POODLE 漏洞的攻击
  • D:该评级是通过之前计算得分划分的等级,但该等级基本不会出现。因为一般得到该评级表示会受到某个高危的漏洞影响,会直接拉低评级到F
  • E:该评级和 D 评级一致,也是基本不会出现。其原因与评级 D 的原因一致。
  • F:在该等级下,表示服务器的 SSL 部署存在严重的安全性问题。得到该评分的原因有以下几种可能:
    1. 服务器支持 SSL2 协议
    2. 服务器易受到 DROWN 漏洞的攻击
    3. 服务器易受到 FREAK 漏洞的攻击
    4. 服务器使用了 Anon 系列的加密套件
    5. 服务器支持不安全的客户端重协商
    6. RSA 证书的公钥强度低于 1024 或 ECC 证书的公钥强度低于 160
    7. 使用弱的签名算法(如:MD2MD5SHA1等)
    8. 服务器易受到 CVE-2016-2107 漏洞的攻击
    9. 服务器易受到 b 漏洞的攻击
    10. 服务器只支持 SSL3 协议
    11. 服务器使用了 Null 系列的加密套件
    12. 服务器易受到 Heartbleed 漏洞的攻击
    13. 服务器易受到 Logjam 漏洞的攻击
  • T: 该等级是一个特殊等级,只表示部署的证书不可信(证书过期、吊销、黑名单、域名不匹配、自签发等)。

检测报告

整个检测报告分为 7 个部分:概述、证书信息、协议与套件、协议详情、SSL 漏洞、客户端握手模拟和证书兼容性测试。

概述

该部分中给出检测的总体评分以及 ATSPCI 的合规性。

概述信息

证书信息

该部分的主要作用是展示被检测的服务器部署的证书链情况和服务器证书的可信情况,因此该部分又分为两个子项目:服务器证书证书链信息

服务器证书

在该部分中会给出在整个检测流程中获取的所有证书,双证书、CDN 证书一网打尽。在这个部分中会给出服务器证书的信息,包括通用名称、颁发者信息、签名算法、加密算法、证书品牌、证书类型等信息。

叶子证书信息

证书链信息

在该部分中会给出详细的证书链信息,如果服务器缺链或部署了根证书会给出相应的提示,该证书链信息是与所展示的证书信息相关联的。

证书链信息

注意

  • 当你点击【下载证书链】按钮时,根证书会移除,只显示中间证书和服务器证书。
  • 当服务器检测缺少中间证书时,会把中间证书补全,并显示为红色。

    补全的中间证书

协议与套件

该部分也分为两个子项目:支持协议信息和每个协议上支持的加密套件信息。

支持协议

该部分给出被检测服务器所有支持的协议,对一些不应该支持的协议会使用橙色或红色警告,同时也支持 TLS1.3 draft 18 的检测。

支持协议信息

加密套件

在该部分中会按照协议的不同,区分展示被检测服务器支持的协议上所支持的加密套件。一些不安全的加密套件会使用红色表示。一些提供弱的安全性加密套件会使用橙色表示。

加密套件信息

协议详情

该部分中主要展示被检测服务器的一些特性的支持情况。其中,绿色表示检测的网站较优的配置,黑色表示正常情况。如下图所示:

协议详情信息

SSL 漏洞

该部分给被检测服务器的受漏洞影响的情况。检测的漏洞主要有以下几种:

SSL漏洞信息

注意

  • 当【危险系数】的结果显示橙色,表示此漏洞的影响偏弱。
  • 当【危险系数】的结果显示红色,表示此漏洞的影响较大。

客户端握手模拟

该部分主要是模拟一些客户端与被检测服务器进行握手尝试,在该部分的结果中可以清楚的知道被检测服务器的兼容性情况。

客户端与服务器握手模拟

当被检测的服务器是邮件服务器时,该部分会使用一些主流的邮件客户端与被检测的服务器进行握手尝试。其模拟连接如下图所示:

客户端与邮件服务器握手模拟

证书兼容性测试

该部分展示被检测服务所使用的证书在各个平台上的可信情况。如果被检测的服务器具有多张证书,这些证书会同时测试证书兼容性。

证书兼容性测试信息

更多信息

MySSL 除了支持 Web 服务器的 SSL 部署情况检测、完整的 SSL 状态检测之外,还支持邮件服务器的检测(如:IMAPSMTPPOP3端口)。同时,还提供单独的漏洞检测工具、SSL 证书工具、CDN 检测、SSL 安全签章、SSL 客户端检测、ATS 检测等工具。

漏洞检测工具

在该工具集中提供了如下的漏洞检测:

  1. TLS ROBOT 漏洞检测
  2. HeartBleed 漏洞检测
  3. FREAK Attack 漏洞检测
  4. SSL POODLE 漏洞检测
  5. CCS 注入漏洞检测
  6. CBC padding oracle 漏洞检测

SSL 证书工具集

在该工具集中包含了如下的工具:

  1. CAA 检测
  2. CSR 在线生成
  3. CSR 内容查看
  4. SSL 证书格式转换
  5. SSL 证书查看
  6. 公私钥匹配
  7. 私钥加解密

CDN 检测

通过 CDN 节点检测,查出不同地区下不同网络中网站的 IP 节点,并进行 HTTPS 安全评估。

SSL 安全签章

在网站的页面上展示安全认证。

SSL 客户端检测

通过该检测可以了解当前的使用浏览器的安全配置。

ATS 检测

针对 Apple 公司的 ATS 规范,推出了专门的 ATS 检测工具。通过该工具能够轻松的了解服务器是否满足 Apple 的 ATS 规范。

HTTP2 检测

通过该检测能快速的知道服务器是否支持 HTTP2。

SSL 状态检测

该功能是 MySSL 安全评估的简版,能够快速发现证书协议加密套件这三个部分的部署问题。

证书链下载

通过该工具能够快速的获取服务器上部署的证书信息,并且能够对缺少 CA 证书的证书链进行修复。

邮件服务器检测

通过该工具能够快速的检测邮件服务器上 SSL 部署情况。

测试证书生成

通过该工具,能够生成用于测试的服务器证书、客户端证书、代码签名证书和邮件证书。

Punycode 编解码

该工具提供对中文域名的编码和解密,方便申请中文域名证书是填写域名信息。

DNS 诊断工具

在该工具中提供了 DNS 解析诊断和域名型 SSL 验证,方便对 DNS 故障进行排查,以及诊断填写的 DNS 验证信息是否已经生效。