si SSL v3 está deshabilitado en www.google.com, ¿por qué la salida de openssl sugiere que se está usando SSL v3?

5

Herramientas de auditoría como
enlace
informe que SSL v3 está deshabilitado en www.google.com (como es de esperar; con las fallas de seguridad que se han descubierto en SSL v3, una empresa como Google no olvidará apagarlo).

Pero entonces, ¿cómo es que cuando me conecto con openssl y grep la salida para "ssl":

openssl s_client -state -connect www.google.com:443 | grep -i "ssl"

la salida hace referencia a SSLv3 varias veces?

SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=1 /C=US/O=Google Trust Services/CN=Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
verify return:0
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
SSL handshake has read 2450 bytes and written 447 bytes
New, TLSv1/SSLv3, Cipher is AES128-SHA
SSL-Session:

Veo la referencia a "TLSv1 / SSLv3". He escuchado que "TLS usa certificados SSL", aunque no entiendo los detalles, pero eso significa que esta conexión está usando el protocolo TLS pero usando certificados SSLv3 ¿Y es por eso que veo todas las referencias a SSLv3 aunque no estemos usando el protocolo SSLv3?

(Supongo que esto es más una pregunta conceptual que una pregunta de programación, por eso lo publico aquí en lugar de Stack Overflow).

    
pregunta Bennett 23.05.2018 - 16:55
fuente

1 respuesta

8

Estos mensajes provienen de SSL_state_string_long , y muchos de ellos se actualizaron en versión 1.1.0 de "SSLv3 [mensaje]" a " SSLv3 / TLS [mensaje] ", así que supongo que OpenSSL usa el mismo código para SSL 3 y TLS, y que solo estás usando una versión anterior a 1.1.0 donde los mensajes aún no se actualizaron para dar cuenta de eso .

Puede ver aquí y aquí para 1.0.2 que TLS usa muchas funciones ssl3, solo intercambiando las que son incompatibles. Esto se ha movido en 1.1.0 para que todas las implementaciones estén en methods.c .

    
respondido por el AndrolGenhald 23.05.2018 - 20:54
fuente

Lea otras preguntas en las etiquetas