如何在 IP 地址上强制 SSLv3 连接？答案

【问题标题】：How can i force a SSLv3 connection on an ip address?如何在 IP 地址上强制 SSLv3 连接？
【发布时间】：2018-04-18 13:58:49
【问题描述】：

感谢 sslyze 脚本和 testssl.sh 脚本，我找到了一个接受 SSLv3 连接的 IP。但是当我尝试在这个 ip 上执行与 openssl 的连接时，我无法使用 sslv3 进行连接。这是我的命令行： openssl s_client -connect 109.7.48.82:443 -no_tls1_1 -no_tls1_2 -no_tls1 这是命令的结果

Result of openssl command

那么，你知道为什么我无法强制与 sslv3 建立连接吗？

【问题讨论】：

不要将文本包含在图像中！
如果您运行openssl list -disabled，您可能会看到 SSLv3 已禁用。重新启用它以重新编译具有 SSLv3 支持的 openssl 的唯一方法。
好的，谢谢你的回答。我的禁用列表是：禁用算法：HEARTBEATS IDEA MD2 MDC2 RC5 SCTP SSL3 ZLIB。为什么 SSLv2 没有出现在这个列表中？（因为我认为如果 SSLV3 被禁用，SSLV2 也会被禁用，我错了吗？）

标签： ssl openssl sslv3

【解决方案1】：

您的 openssl 不再像许多最近的 TLS 库一样支持 SSLv3。这可以从错误信息中看出

tls_construct_client_hello：没有可用的协议

【讨论】：

好吧，这很奇怪，因为如此，没有办法与openssl执行sslv3连接，这应该是操纵ssl/tls的库？
@SWITER：支持 SSLv3 的代码还在 openssl 源代码中。但是由于 SSLv3 被认为是损坏的，因此许多当前构建的 openssl（和其他 TLS 库）都明确禁用了 SSLv3。如果您想使用它，那么您需要使用未禁用 SSLv3 的 openssl 构建或构建您自己的。
好的。但我真的不明白什么是图书馆的构建？编译库的方式不同吗？所以做我想做的唯一方法是删除librairie openssl并重新安装它？（但不是 apt-get install 我想？）。
@SWITER：系统上不同地方可能有多个版本的openssl。您可以在 testssl.sh 站点上找到支持更多密码和协议版本的 OpenSSL 替代版本。除此之外，这个问题只问为什么你会遇到这个问题 - 我的回答中对此进行了解释。如何获得支持 SSLv3 的某些版本的 openssl 或如何自己编译不是您的问题的一部分。