弱い暗号化プロトコルでの接続対応状況を検出する方法にはいくつかある。例えばnmapの「ssl-enum-ciphers」を使うと、サーバが受け入れるTLSバージョンと暗号化スイートを列挙してくれる。

$ nmap --script ssl-enum-ciphers -p 443 arowanakaitai.com
Starting Nmap 7.94SVN ( https://nmap.org ) at 2026-04-03 21:11 JST
Nmap scan report for arowanakaitai.com (3.166.228.77)
Host is up (0.0058s latency).
Other addresses for arowanakaitai.com (not scanned): 3.166.228.41 3.166.228.34 3.166.228.15
rDNS record for 3.166.228.77: server-3-166-228-77.nrt20.r.cloudfront.net

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
|     compressors:
|       NULL
|     cipher preference: server
|   TLSv1.3:
|     ciphers:
|       TLS_AKE_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_AKE_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_AKE_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.75 seconds

他にも、testssl.shを使う方法もあるが、いずれにせよ管理外のWebサイトに対して気軽に試すことは避けるべきである。

testssl.sh