← retour aux snippets

openssl s_client: tester rapidement un service TLS

Établir une connexion TLS, vérifier le certificat, l'ALPN et le SNI, afficher la chaîne.

bash security #openssl #tls #sni

16 août 2025

objectif

Valider un endpoint TLS sans navigateur, diagnostiquer SNI et ALPN (h2/http/1.1).

code minimal

# connexion TLS avec SNI et affichage de la chaîne
openssl s_client -connect data.pm:443 -servername data.pm -showcerts </dev/null

utilisation

# vérifier l'ALPN (h2, http/1.1)
openssl s_client -connect data.pm:443 -servername data.pm -alpn h2 -brief </dev/null

# vérifier OCSP stapling
openssl s_client -connect data.pm:443 -servername data.pm -status </dev/null

variante(s) utile(s)

# forcer un CA custom
SSL_CERT_DIR=/etc/ssl/certs openssl s_client -connect internal:443 -servername internal </dev/null

notes

ne divulguez pas de secrets sur stdin; fermez via </dev/null.
comparez le CN/SAN avec le host demandé (SNI).
ALPN influence le protocole négocié (HTTP/2 vs 1.1).