我正在使用python:3.8-slim-busterdocker 镜像。Debian buster 仅允许 TLS 1.2 或更高版本。我需要向仅支持 TLS1.0 的某些网站发出请求,我希望能够配置 OpenSSL 以允许仅对某些域/IP 地址使用 TLS 1.0 发出请求,可以吗?
答案1
您无法通过系统范围的配置来做到这一点。
但个别申请能在建立 TLS 连接之前,要求 OpenSSL 选择不同的安全级别,例如通过调用SSL_CTX_set_security_level()(如果使用 C 编写)或将其包含@SECLEVEL=n在 TLS 密码列表中。同样,他们可以选择不同的最低 TLS 版本。
例如,在 Python 中这可能有效:
ctx = ssl.create_default_context()
ctx.minimum_version = ssl.TLSVersion.TLSv1
ctx.set_ciphers("DEFAULT:@SECLEVEL=1")