Herramientas de auditoría como
enlace
informe que SSL v3 está deshabilitado en www.google.com (como es de esperar; con las fallas de seguridad que se han descubierto en SSL v3, una empresa como Google no olvidará apagarlo).
Pero entonces, ¿cómo es que cuando me conecto con openssl y grep la salida para "ssl":
openssl s_client -state -connect www.google.com:443 | grep -i "ssl"
la salida hace referencia a SSLv3 varias veces?
SSL_connect:before/connect initialization
SSL_connect:SSLv2/v3 write client hello A
SSL_connect:SSLv3 read server hello A
depth=1 /C=US/O=Google Trust Services/CN=Google Internet Authority G3
verify error:num=20:unable to get local issuer certificate
verify return:0
SSL_connect:SSLv3 read server certificate A
SSL_connect:SSLv3 read server done A
SSL_connect:SSLv3 write client key exchange A
SSL_connect:SSLv3 write change cipher spec A
SSL_connect:SSLv3 write finished A
SSL_connect:SSLv3 flush data
SSL_connect:SSLv3 read finished A
SSL handshake has read 2450 bytes and written 447 bytes
New, TLSv1/SSLv3, Cipher is AES128-SHA
SSL-Session:
Veo la referencia a "TLSv1 / SSLv3". He escuchado que "TLS usa certificados SSL", aunque no entiendo los detalles, pero eso significa que esta conexión está usando el protocolo TLS pero usando certificados SSLv3 ¿Y es por eso que veo todas las referencias a SSLv3 aunque no estemos usando el protocolo SSLv3?
(Supongo que esto es más una pregunta conceptual que una pregunta de programación, por eso lo publico aquí en lugar de Stack Overflow).