У меня есть сервер веб-сайта Nginx в FreeBSD. На прошлой неделе мы решили отбросить поддержку соединения SSLv3 для нашего сайта.
Однако я задающийся вопросом, имеет ли nginx журналы всего клиента, который не может сделать квитирования SSL успешно. Было бы замечательно, если у нас есть некоторые данные о IP-адресе что все еще использование соединение SSLv3.
Я пытался изучить nginx журнал ошибок. Это - то, где я нахожу небольшие журналы только
2015/03/18 16:55:32 [error] 48792#0: accept4() failed (53: Software caused connection abort)
2015/03/19 19:47:05 [error] 48791#0: accept4() failed (53: Software caused connection abort)
2015/03/19 23:39:54 [error] 48791#0: OCSP_check_validity() failed (SSL: error:2707307D:OCSP routines:OCSP_check_validity:status expired) while requesting certificate status, responder: ocsp2.globalsign.com
Нет никакого упоминания о прерванном клиенте из-за SSLv3-квитирования сбоя. Может nginx, настроенный к журналам этот вид ошибки?
В журнал доступа можно добавить переменную $ssl_protocol, но это будет работать только с включенными SSL-протоколами, чего нельзя сказать о SSLv3 . С помощью журнала ошибок вы можете изменить уровень log_level на info и получать информацию о протоколе SSL при прерывании соединения:
2015/03/19 09:04:21 [info] 27759#0: *1 SSL_do_handshake() failed (SSL: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:443