我需要对公司的某项服务进行风险分析。 为此,我需要对SSL密码套件进行比较,以及它们多久用来重新评估对旧密码或弱密码的需求。 是否有可能以任何方式监视/输出OpenSSL使用的密码套件?
目标是我可以举例说:
Openssl只是库,你需要添加适当的日志logging到使用TLS的服务来logging这些细节。
即在Apache httpd中,您可以logging包含密码套件的SSL_CIPHER环境variables,其中包含以下内容:
CustomLog logs/ssl_ciphers_log "%t %h \"{User-agent}i\" %{SSL_PROTOCOL}x %{SSL_CIPHER}x "