我想知道为什么没有一种简单的方法可以找到特定 ssl 上下文支持的密码? (还是我错过了)
我知道我们可以使用socket.cipher() 来获取用于特定socket 连接的那个,但是为什么不获取所有支持的密码呢?
还有一点,
我有一台服务器正在运行带有密码字符串"HIGH+TLSv1.2:!MD5:!SHA1" 的 openssl 库。客户端是一个使用ssl库的python文件,带有默认选项,建立连接后socket.cipher()显示如下元组
('DHE-RSA-AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
当我明确提到 TLSv1.2 时,如何与 TLSv1 建立连接,以及当 TLSv1 不支持高于 SHA1 的任何东西时,它如何使用 SHA384?
【问题讨论】:
标签: python sockets ssl tls1.2 pyopenssl
我想知道为什么没有一种简单的方法可以找到特定 ssl 上下文支持的密码? (还是我错过了)
只有 OpenSSL 1.1.0 添加了一个函数 SSL_CTX_get_ciphers 来访问这个列表,这个功能在 Python 中还没有。
('DHE-RSA-AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)当我明确提到 TLSv1.2 时,如何与 TLSv1 建立连接,以及当 TLSv1 不支持高于 SHA1 的任何东西时,它如何使用 SHA384?
根据the source code,Python 正在使用 SSL_CIPHER_get_version 来查找版本字符串。匹配的 OpenSSL documentation 表示 OpenSSL 1.0.2:
SSL_CIPHER_get_version() 返回字符串,该字符串指示首先定义密码的 SSL/TLS 协议版本。 目前是 SSLv2 或 TLSv1/SSLv3。在某些情况下,它可能会返回“TLSv1.2”,但不会;使用 SSL_CIPHER_description()
因此,这是 OpenSSL 中的一个错误,根据 OpenSSL 1.1.0 中相同功能的文档,该错误已在最新的 OpenSSL 版本中得到修复。
【讨论】:
openssl ciphers -V 'ALL' 的输出创建自己的映射。
socket.version()。