У меня есть сервер сайта от Nginx во FreeBSD. На прошлой неделе мы решили отказаться от поддержки SSLv3-соединения для нашего сайта.
Однако мне интересно, есть ли у nginx журналы всех клиентов, которые не могут успешно выполнить SSL-рукопожатие. Было бы здорово, если бы у нас были данные об IP-адресе, который все еще использует соединение SSLv3.
Я попытался заглянуть в журнал ошибок nginx. Вот где я нахожу только журналы
2015/03/18 16:55:32 [error] 48792#0: accept4() failed (53: Software caused connection abort)
2015/03/19 19:47:05 [error] 48791#0: accept4() failed (53: Software caused connection abort)
2015/03/19 23:39:54 [error] 48791#0: OCSP_check_validity() failed (SSL: error:2707307D:OCSP routines:OCSP_check_validity:status expired) while requesting certificate status, responder: ocsp2.globalsign.com
Нет никаких упоминаний о прерванном клиенте из-за неудачного подтверждения SSLv3. Может ли nginx настроен на регистрацию такого рода ошибок?
В журнал доступа вы можете добавить переменную $ ssl_protocol, но это будет работать только с включенными протоколами SSL, что не относится к SSLv3. С помощью журнала ошибок вы можете изменить log_level на info, и вы получите информацию о протоколе SSL при разрыве соединения:
2015/03/19 09:04:21 [info] 27759#0: *1 SSL_do_handshake() failed (SSL: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:443