摘要：网站解析的IP地址服务器类型（有助于我们确认我们的WAF是否已启用）确认链（中间）证书是否正确安装谁颁发了证书证书还有多长时间过期，或者是否已经过期证书中包含哪些主机名，以及证书是否为通配符通常不太受关注的是有效期、证书的序列号和使用的算法

并非所有网站的SSL配置都相同，而且越来越多的网站正在大力推广HTTPS。检查和量化浏览器中那把小锁的需求也日益增长。

一些简单的在线工具可以快速生成SSL报告。它们是SSL配置检查器，它们不仅仅检查证书（证书实际上只是配置的一部分），还会进行更全面的检查。

SSL购物者

SSLShopper提供的结果非常快，通常在4秒内即可完成。它会报告一些我们通常感兴趣的、与我们作为分析师最相关的、可以与客户分享的内容：

网站解析的IP地址

服务器类型（有助于我们确认我们的WAF是否已启用）

确认链（中间）证书是否正确安装

谁颁发了证书

证书还有多长时间过期，或者是否已经过期

证书中包含哪些主机名，以及证书是否为通配符

通常不太受关注的是有效期、证书的序列号和使用的算法

需要注意的是，这项测试会缓存结果，有时会缓存几天。如果需要重新请求未缓存的测试（这是他们提供的选项），请查看顶部的SSL结果。

GodaddySSL证书检查器

GoDaddySSL证书检查器的结果与SSLShopper非常相似，但速度稍慢，它提供更清晰、更易于阅读的报告，并提供未缓存的结果，这在解决问题时是一个额外的好处。

QualysSSLLabs提供了更多细节，最值得注意的是总体评级：简单的A+到F分数（默认情况下，如果启用HSTS，我们WAF上的网站将获得A+分数）。

值得注意的可能感兴趣的其他详细信息包括：

如果扩展验证证书

如果使用OCSP装订

如果证书已被吊销

哪些浏览器信任此SSL配置（不会显示全部，但会列出任何可能被破坏的配置）

哪些协议既启用又禁用，并以绿色突出显示结果以确认最佳实践。

已启用的密码套件会以绿色突出显示，以体现最佳实践。但对于显示橙色并标记为“弱”的结果，应谨慎处理。虽然禁用这些密码套件是理想选择，但这样做并不实际，因为太多老旧且不安全的浏览器会受到影响。最好参考哪些密码套件被视为符合PCI规范，以确定界限。

这里提供了完整的浏览器列表，并说明了此SSL配置是否适用于这些浏览器。接下来是一份非常详细的已知漏洞列表，这些漏洞会影响SSL以及您的网站的漏洞状态。

Qualys还提供了一些优秀的文档和指南，帮助理解这些报告。测试运行时间会更长一些，通常需要一到两分钟，也可以从缓存中获取。

Immuniweb（前身为High-TechBridge）

我非常喜欢Immuniweb。它不仅包含其他测试人员的详细信息，还给出了一个简单的评分。Immuniweb清楚地显示了您网站的SSL配置是否符合PCI规范。另外值得注意的是，他们提供了该报告的唯一链接，方便您比较之前的报告。

让我恼火的一件事是，他们用橙色标记并高亮了优秀的密码CHACHA20。它之所以没有获得NIST指南的批准，唯一的原因是他们还没有时间测试它，但它被广泛使用。没有迹象表明它会造成任何风险。虽然我理解他们确实需要标记它，但他们应该把这个细节作为警告添加进去。

还有其他选项可以测试您的SSL配置，但这些选项需要您对LinuxShell有一定的了解。让我们来看看我们的支持分析师通常使用哪些选项：

OpenSSL

OpenSSL被誉为SSL的多功能工具，但它在不同操作系统/环境中的安装方式有所不同，可能需要一些了解才能筛选出相关或不相关的内容。以下是一些示例，包括一个简单的测试，例如这个清晰地显示了到期日期的测试：

echo | openssl s_client -servername www.domain.com -connect www.domain.com:443 2>/dev/null | openssl x509 -noout -dates

这将向证书颁发者提供：

echo | openssl s_client -servername domain.com -connect domain.com:443 2>/dev/null | openssl x509 -noout -issue

这将提供证书的主题名称、到期日期和颁发者。

echo | openssl s_client -servername domain.com -connect domain.com:443 2>/dev/null | openssl x509 -noout -issuer -subject -dates

这些对于我们的测试目的非常有用，因为我们可以设置不同的目标（domain.com的第二个实例可以是托管服务器的IP地址），并通过测试托管服务器上的证书来绕过WAF，因为托管服务器在公共互联网上不易被发现。相反，当WAF证书被禁用或尚未启用时，我们可以通过将OpenSSL指向WAFIP来检查证书是否已在WAF上安装。

SSLyze

SSLyze是一款开源脚本，它提供的报告细节和质量丝毫不逊于任何在线测试工具。它以清晰易读的语言提供建议，并可直接提取到报告中。使用建议的多种方法之一安装后，运行起来非常简单，并且支持为多个域名添加测试。

docker run --rm -it nablac0d3/sslyze --regular sucuri.net:443 google.com

它可以轻松设置为在Linux服务器上以cron作业的形式运行：我在一个非常小的基于云的Linux服务器上运行它，能够在不到10分钟的时间内将500个域名解析成一份报告，所以它真的非常快，而且高度可配置。对于需要监控大量资产并需要更详细报告的机构或企业来说，它是完美的解决方案。

Gworg监控服务

这是我们网站安全套餐的一部分。Gworg监控服务的独特之处在于，它会主动监控SSL状态，并在出现错误时发送电子邮件。我们通常不会提供太多详细信息，但警报非常简单。此外，它还会监控SSL健康状况、服务器正常运行时间以及任何被列入黑名单的情况。最后，它会扫描网站是否存在恶意软件。

概括

SSL测试方法确实没有优劣之分。我们拥有快速且相当详细的检查、PCI合规性证明、大批量测试和主动报告等功能。这些功能都在我的桌面上。

来源：陈态体育