检查TLS客户端的工具

Question

在TLS服务器上测试TLS配置的工具有很多，比如testssl、sslyze。我想知道，为什么没有检查TLS客户端的工具？是什么让这件事变得困难？

Answer 1

现在还不清楚你到底要测试什么。但是对于浏览器来说，有SSLLabs客户端测试。您还可以查看ClientHello (包含所有支持的密码、曲线、哈希算法.)。

..。想知道

对于任何需要多个握手的东西(比如确定支持的协议版本)，都必须以某种方式对客户端进行多次握手。虽然这对于使用JavaScript的web浏览器来说是可能的，但是没有任何其他的标准方法。这就是为什么不能编写一个深入测试任意TLS客户端行为的通用工具的原因。

Answer 2

它们并不难检查，只是TLS客户端的优先级比服务器低。要检查客户机(例如，对于受支持的TLS版本)，您需要编写一个实用工具，该实用程序使用TLS版本(openssl s_server -accept 443 -tls1_1 -CAfile ca.pem -cert server.pem -key server.key)启动服务器，并检查流量捕获文件中是否存在“应用程序数据”字符串，这表明TLS握手是成功的。