本文详细介绍了MySSL检测工具的概念、使用方法、检测报告的结果及其解读等信息。

什么是MySSL

MySSL是TrustAsia推出的一款快速检测服务器SSL部署情况的在线检测工具,帮助各大站长或运维人员快速找到在部署SSL证书中存在的问题。同时还提供DNS诊断工具CSR生成证书格式转换等小工具。

如何使用MySSL

获取安全评级

  1. 访问MySSL官网
  2. 输入需要检测的域名,并点击【立即检测】按钮
    MySSL检测UI

注意:若针对非443端口的SSL状态进行检测,在输入域名时,带上对应的端口即可。

  1. 显示评级结果等信息
    MySSL检测结果

注意

  • 评级达到B以上,表明在安全性和兼容性方面都能符合HTTPS最佳安全实践的要求。
  • 有关评级结果的详细解读,参阅本文下方评级结果章节。

设置证书到期提醒

选择【证书到期提醒】选项,然后输入邮箱,或者微信扫描二维码订阅证书到期提醒。
设置证书到期提醒
如何设置证书到期提醒

查看检测报告

你可以通过浏览网页页面滚动鼠标来查看检测报告,或通过微信扫描二维码查看完整的检测报告。
查看检测报告

注意

  1. 由于对同一域名、IP和端口的最新检测报告要缓存一段时间。因此,如果发现报告上的检测时间参数不正确,点击右上角的【刷新报告】按钮再查看。
  2. 有关检测结果的详细解读,参阅本文下方检测报告章节。

评级结果

如何计算

主要通过对支持的协议支持的加密套件的安全性密钥交换的安全性这三个因素,按比例打分聚合,最高分为100。

得分 评级
>=80 A
>=65 B
>=50 C
>=35 D
>=20 E
<20 F

评分等级

通过得分,结合漏洞以及一些特殊情况的固定评级进行综合打分,得到最后的总评级。目前评级一共分为9个等级,依次是:A+AA-BCDEF,还有一个特殊等级T

A+

该评级是目前最好的评级,表示服务器的SSL部署状况良好,并启用了一些额外的类似于HSTS的措施。

A

该评级也表示服务器的SSL部署情况良好。

A-

该评级也表示服务器的SSL部署情况良好,但是没有优先使用支持PFS特性的加密套件。

B

该评级并不代表服务器SSL的部署情况有问题,但不影响正常的安全性。
得到该评分的原因有以下几种可能:

  1. RSA证书的公钥强度小于2048或者ECC证书的公钥强度小于224
  2. 服务器支持SSL3协议
  3. 服务器支持RC4系列的加密套件并没有在TLS1.2TSL1.1上优先使用
  4. 服务器部署的证书链不完整,缺失CA证书
  5. 服务器使用弱的DH参数
  6. 页面存在不安全的外链
C

从这个评级开始,就都代表服务器的SSL部署存在一些问题,会影响安全性。
得到该评级的原因有以下几种可能:

  1. 服务器易受到CRIME漏洞的攻击
  2. 服务器没有使用TLS1.2协议
  3. 服务器在TLS1.2TLS1.1协议上优先使用RC4系列的加密套件
  4. 服务器易受到POODLE漏洞的攻击
D

该评级是通过之前计算得分划分的等级,但该等级基本不会出现。因为一般得到该评级表示会受到某个高危的漏洞影响,会直接拉低评级到F

E

该评级和D评级一致,也是基本不会出现。其原因与评级D的原因一致。

F

在该等级下,表示服务器的SSL部署存在严重的安全性问题。
得到该评分的原因有以下几种可能:

  1. 服务器支持SSL2协议
  2. 服务器易受到DROWN漏洞的攻击
  3. 服务器易受到FREAK漏洞的攻击
  4. 服务器使用了Anon系列的加密套件
  5. 服务器支持不安全的客户端重协商
  6. RSA证书的公钥强度低于1024或ECC证书的公钥强度低于160
  7. 使用弱的签名算法(如:MD2MD5SHA1等)
  8. 服务器易受到CVE-2016-2107漏洞的攻击
  9. 服务器易受到 b漏洞的攻击
  10. 服务器只支持SSL3协议
  11. 服务器使用了Null系列的加密套件
  12. 服务器易受到Heartbleed漏洞的攻击
  13. 服务器易受到Logjam漏洞的攻击
T

该等级是一个特殊等级,只表示部署的证书不可信(证书过期、吊销、黑名单、域名不匹配、自签发等)。

检测报告

整个检测报告分为7个部分:概述、证书信息、协议与套件、协议详情、SSL漏洞、客户端握手模拟和证书兼容性测试。

概述

该部分中给出检测的总体评分以及ATSPCI的合规性。
概述信息

证书信息

该部分的主要作用是展示被检测的服务器部署的证书链情况和服务器证书的可信情况,因此该部分又分为两个子项目:服务器证书证书链信息

服务器证书

在该部分中会给出在整个检测流程中获取的所有证书,双证书、CDN证书一网打尽。在这个部分中会给出服务器证书的信息,包括通用名称、颁发者信息、签名算法、加密算法、证书品牌、证书类型等信息.
叶子证书信息

证书链信息

在该部分中会给出详细的证书链信息,如果服务器缺链或部署了根证书会给出相应的提示,该证书链信息是与所展示的证书信息相关联的。
证书链信息

注意

  • 当你点击【下载证书链】按钮时,根证书会移除,只显示中间证书和服务器证书。
  • 当服务器检测缺少中间证书时,会把中间证书补全,并显示为红色。
    补全的中间证书

协议与套件

该部分也分为两个子项目:支持协议信息和每个协议上支持的加密套件信息。

支持协议

该部分给出被检测服务器所有支持的协议,对一些不应该支持的协议会使用橙色或红色警告,同时也支持TLS1.3 draft 18的检测。
支持协议信息

加密套件

在该部分中会按照协议的不同,区分展示被检测服务器支持的协议上所支持的加密套件。一些不安全的加密套件会使用红色表示。一些提供弱的安全性加密套件会使用橙色表示。
加密套件信息

协议详情

该部分中主要展示被检测服务器的一些特性的支持情况。其中,绿色表示检测的网站较优的配置,黑色表示正常情况。如下图所示:
协议详情信息

SSL漏洞

该部分给被检测服务器的受漏洞影响的情况。检测的漏洞主要有以下几种:
SSL漏洞信息

注意

  • 当【危险系数】的结果显示橙色,表示此漏洞的影响偏弱。
  • 当【危险系数】的结果显示红色,表示此漏洞的影响较大。

客户端握手模拟

该部分主要是模拟一些客户端与被检测服务器进行握手尝试,在该部分的结果中可以清楚的知道被检测服务器的兼容性情况。
客户端与服务器握手模拟
当被检测的服务器是邮件服务器时,该部分会使用一些主流的邮件客户端与被检测的服务器进行握手尝试。其模拟连接如下图所示:
客户端与邮件服务器握手模拟

证书兼容性测试

该部分展示被检测服务所使用的证书在各个平台上的可信情况。如果被检测的服务器具有多张证书,这些证书会同时测试证书兼容性。
证书兼容性测试信息

更多信息

MySSL除了支持Web服务器的SSL部署情况检测、完整的SSL状态检测之外,还支持邮件服务器的检测(如:IMAPSMTPPOP3端口)。同时,还提供单独的漏洞检测工具、SSL证书工具、CDN检测、SSL安全签章、SSL客户端检测、ATS检测等工具。

漏洞检测工具

在该工具集中提供了如下的漏洞检测:

  1. TLS ROBOT漏洞检测
  2. HeartBleed漏洞检测
  3. FREAK Attack漏洞检测
  4. SSL POODLE漏洞检测
  5. CCS注入漏洞检测
  6. CBC padding oracle漏洞检测

SSL证书工具集

在该工具集中包含了如下的工具:

  1. CAA检测
  2. CSR在线生成
  3. CSR内容查看
  4. SSL证书格式转换
  5. SSL证书查看
  6. 公私钥匹配
  7. 私钥加解密

CDN检测

通过CDN节点检测,查出不同地区下不同网络中网站的IP节点,并进行HTTPS安全评估。

SSL安全签章

在网站的页面上展示安全认证。

SSL客户端检测

通过该检测可以了解当前的使用浏览器的安全配置。

ATS检测

针对Apple公司的ATS规范,推出了专门的ATS检测工具。通过该工具能够轻松的了解服务器是否满足Apple的ATS规范。

HTTP2检测

通过该检测能快速的知道服务器是否支持HTTP2。

SSL状态检测

该功能是MySSL安全评估的简版,能够快速发现证书协议加密套件这三个部分的部署问题。

证书链下载

通过该工具能够快速的获取服务器上部署的证书信息,并且能够对缺少CA证书的证书链进行修复。

邮件服务器检测

通过该工具能够快速的检测邮件服务器上SSL部署情况。

测试证书生成

通过该工具,能够生成用于测试的服务器证书、客户端证书、代码签名证书和邮件证书。

Punycode编解码

该工具提供对中文域名的编码和解密,方便申请中文域名证书是填写域名信息。

DNS诊断工具

在该工具中提供了DNS解析诊断和域名型SSL验证,方便对DNS故障进行排查,以及诊断填写的DNS验证信息是否已经生效。