我需要对我公司提供的某项服务进行风险分析。为此,我需要比较 SSL 密码套件及其使用频率,以重新评估对旧密码/弱密码的需求。是否有可能以任何方式监控/输出 OpenSSL 使用的密码套件?
我的目标是,例如可以说:
- 在 123456 个连接中,有 1234 个使用了 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- 123456 个连接中有 12 个使用了 SSLv3 SSL_RSA_WITH_RC4_128_SHA
答案1
Openssl 只是一个库,您需要向使用 TLS 的服务添加适当的日志来记录这些详细信息。
即在 Apache httpd 中你可以记录SSL_CIPHER
包含密码套件的环境变量,内容如下:
CustomLog logs/ssl_ciphers_log "%t %h \"{User-agent}i\" %{SSL_PROTOCOL}x %{SSL_CIPHER}x "