- Open SSL
- SYNOPSIS
- DESCRIPTION
- Macros
- Functions
- RETURN VALUES
- SEE ALSO
- HISTORY
- COPYRIGHT
- master manpages
- This manpage
- Как проверить поддерживаемую версию TLS/SSL в Linux
- Как проверить поддерживаемую версию TLS/SSL в Linux
- Проверка поддерживаемых версий TLS/SSL с помощью NMAP
- Проверка поддерживаемых версий TLS/SSL с помощью OpenSSL
- Похожие записи:
- How To Determine and Print OpenSSL Version?
- Check and Print OpenSSL Version
- Print OpenSSL Directory
- Print Detailed Version Information
Open SSL
OPENSSL_VERSION_MAJOR, OPENSSL_VERSION_MINOR, OPENSSL_VERSION_PATCH, OPENSSL_VERSION_PRE_RELEASE, OPENSSL_VERSION_BUILD_METADATA, OPENSSL_VERSION_TEXT, OPENSSL_VERSION_PREREQ, OPENSSL_version_major, OPENSSL_version_minor, OPENSSL_version_patch, OPENSSL_version_pre_release, OPENSSL_version_build_metadata, OpenSSL_version, OPENSSL_VERSION_NUMBER, OpenSSL_version_num, OPENSSL_info — get OpenSSL version number and other information
SYNOPSIS
#include #define OPENSSL_VERSION_MAJOR x #define OPENSSL_VERSION_MINOR y #define OPENSSL_VERSION_PATCH z /* The definitions here are typical release values */ #define OPENSSL_VERSION_PRE_RELEASE "" #define OPENSSL_VERSION_BUILD_METADATA "" #define OPENSSL_VERSION_TEXT "OpenSSL x.y.z xx XXX xxxx" #define OPENSSL_VERSION_PREREQ(maj,min) #include unsigned int OPENSSL_version_major(void); unsigned int OPENSSL_version_minor(void); unsigned int OPENSSL_version_patch(void); const char *OPENSSL_version_pre_release(void); const char *OPENSSL_version_build_metadata(void); const char *OpenSSL_version(int t); const char *OPENSSL_info(int t); /* from openssl/opensslv.h */ #define OPENSSL_VERSION_NUMBER 0xnnnnnnnnL /* from openssl/crypto.h */ unsigned long OpenSSL_version_num();
DESCRIPTION
Macros
The three macros OPENSSL_VERSION_MAJOR, OPENSSL_VERSION_MINOR and OPENSSL_VERSION_PATCH represent the three parts of a version identifier, MAJOR.MINOR.PATCH.
The macro OPENSSL_VERSION_PRE_RELEASE is an added bit of text that indicates that this is a pre-release version, such as «-dev» for an ongoing development snapshot or «-alpha3» for an alpha release. The value must be a string.
The macro OPENSSL_VERSION_BUILD_METADATA is extra information, reserved for other parties, such as «+fips» , or «+vendor.1» ). The OpenSSL project will not touch this macro (will leave it an empty string). The value must be a string.
OPENSSL_VERSION_STR is a convenience macro to get the short version identifier string, «MAJOR.MINOR.PATCH» .
OPENSSL_FULL_VERSION_STR is a convenience macro to get the longer version identifier string, which combines OPENSSL_VERSION_STR, OPENSSL_VERSION_PRE_RELEASE and OPENSSL_VERSION_BUILD_METADATA.
OPENSSL_VERSION_TEXT is a convenience macro to get a full descriptive version text, which includes OPENSSL_FULL_VERSION_STR and the release date.
OPENSSL_VERSION_PREREQ is a useful macro for checking whether the OpenSSL version for the headers in use is at least at the given pre-requisite major (maj) and minor (min) number or not. It will evaluate to true if the header version number (OPENSSL_VERSION_MAJOR.OPENSSL_VERSION_MINOR) is greater than or equal to maj.min.
OPENSSL_VERSION_NUMBER is a combination of the major, minor and patch version into a single integer 0xMNN00PP0L, where:
is the number from OPENSSL_VERSION_MAJOR, in hexadecimal notation
is the number from OPENSSL_VERSION_MINOR, in hexadecimal notation
is the number from OPENSSL_VERSION_PATCH, in hexadecimal notation
Functions
OPENSSL_version_major(), OPENSSL_version_minor(), OPENSSL_version_patch(), OPENSSL_version_pre_release(), and OPENSSL_version_build_metadata() return the values of the macros above for the build of the library, respectively.
OpenSSL_version() returns different strings depending on t:
The value of OPENSSL_VERSION_TEXT
The value of OPENSSL_VERSION_STR
The value of OPENSSL_FULL_VERSION_STR
The compiler flags set for the compilation process in the form compiler: . if available, or compiler: information not available otherwise.
The date of the build process in the form built on: . if available or built on: date not available otherwise. The date would not be available in a reproducible build, for example.
The «Configure» target of the library build in the form platform: . if available, or platform: information not available otherwise.
The OPENSSLDIR setting of the library build in the form OPENSSLDIR: «. » if available, or OPENSSLDIR: N/A otherwise.
The ENGINESDIR setting of the library build in the form ENGINESDIR: «. » if available, or ENGINESDIR: N/A otherwise. This option is deprecated in OpenSSL 3.0.
The MODULESDIR setting of the library build in the form MODULESDIR: «. » if available, or MODULESDIR: N/A otherwise.
The current OpenSSL cpu settings. This is the current setting of the cpu capability flags. It is usually automatically configured but may be set via an environment variable. The value has the same syntax as the environment variable. For x86 the string looks like CPUINFO: OPENSSL_ia32cap=0x123:0x456 or CPUINFO: N/A if not available.
For an unknown t, the text not available is returned.
OPENSSL_info() also returns different strings depending on t:
The configured OPENSSLDIR , which is the default location for OpenSSL configuration files.
The configured ENGINESDIR , which is the default location for OpenSSL engines.
The configured MODULESDIR , which is the default location for dynamically loadable OpenSSL modules other than engines.
The configured dynamically loadable module extension.
The separator between a directory specification and a filename. Note that on some operating systems, this is not the same as the separator between directory elements.
The OpenSSL list separator. This is typically used in strings that are lists of items, such as the value of the environment variable $PATH on Unix (where the separator is : ) or %PATH% on Windows (where the separator is ; ).
The current OpenSSL cpu settings. This is the current setting of the cpu capability flags. It is usually automatically configured but may be set via an environment variable. The value has the same syntax as the environment variable. For x86 the string looks like OPENSSL_ia32cap=0x123:0x456 .
For an unknown t, NULL is returned.
OpenSSL_version_num() returns the value of OPENSSL_VERSION_NUMBER.
RETURN VALUES
OPENSSL_version_major(), OPENSSL_version_minor() and OPENSSL_version_patch() return the version number parts as integers.
OPENSSL_version_pre_release() and OPENSSL_version_build_metadata() return the values of OPENSSL_VERSION_PRE_RELEASE and OPENSSL_VERSION_BUILD_METADATA respectively as constant strings. For any of them that is undefined, the empty string is returned.
OpenSSL_version() returns constant strings.
SEE ALSO
HISTORY
The macros and functions described here were added in OpenSSL 3.0, except for OPENSSL_VERSION_NUMBER and OpenSSL_version_num().
COPYRIGHT
Copyright 2018-2022 The OpenSSL Project Authors. All Rights Reserved.
Licensed under the Apache License 2.0 (the «License»). You may not use this file except in compliance with the License. You can obtain a copy in the file LICENSE in the source distribution or at https://www.openssl.org/source/license.html.
master manpages
This manpage
Please report problems with this website to webmaster at openssl.org.
Copyright © 1999-2023 The OpenSSL Project Authors. All Rights Reserved.
Как проверить поддерживаемую версию TLS/SSL в Linux
SSL (Secure Socket Layer) и TLS (Transport Layer Protocol) — это два протокола безопасности, которые позволяют шифровать и расшифровывать данные, передаваемые через Интернет. Они очень полезны, если вы используете веб-сервер в своей системе Linux. Но TLS является более продвинутым протоколом, чем SSL, и в наши дни является предпочтительной версией. Однако вы можете установить TLS на своем веб-сервере только в том случае, если базовая система Linux поддерживает его.
OpenSSL — это библиотека по умолчанию, используемая в системах Linux для выполнения протоколов SSL/TLS. В этой статье мы узнаем, как проверить поддерживаемые версии TLS/SSL в Linux.
Как проверить поддерживаемую версию TLS/SSL в Linux
Библиотека OpenSSL использует главный конфигурационный файл /etc/pki/tls/openssl.cnf для реализации протоколов TLS/SSL.
Вот простая команда для получения списка всех версий SSL и TLS, поддерживаемых вашей библиотекой OpenSSL.
openssl ciphers -v | awk '' | sort | uniq
Фактический вывод openssl ciphers содержит все детали всех протоколов, поддерживаемых вашей библиотекой. Мы извлекаем 2 столбца из его вывода, сортируем его и удаляем из него дубликаты, чтобы получить окончательный список.
Например, если библиотека OpenSSL, установленная в вашей системе Linux, не поддерживает TLSv1.3, то в выводе вышеприведенной команды не будет отображаться TLS v1.3, и ваши веб-серверы, работающие на этой системе, не смогут поддерживать TLS v1.3. В результате ваш веб-сайт сам не сможет поддерживать TLS v1.3. В таких случаях рекомендуется просто обновить библиотеку OpenSSL в вашей системе, чтобы воспользоваться ее последними возможностями.
Если вы хотите получить полный список всех протоколов, поддерживаемых вашей версией OpenSSL, выполните следующую команду.
openssl ciphers -v | column -t
Проверка поддерживаемых версий TLS/SSL с помощью NMAP
Вы также можете проверить поддерживаемые версии TLS/SSL с помощью команды NMAP. В данном случае мы просканируем результат запроса, отправленного на наш веб-сервер, расположенный по адресу /g-soft.info.
nmap -script ssl-enum-ciphers -p 443 g-soft.info
Это полезно, если вы хотите получить список всех поддерживаемых версий TLS/SSL со стороны клиента, а не со стороны сервера, как было сказано выше.
Проверка поддерживаемых версий TLS/SSL с помощью OpenSSL
Мы уже рассмотрели, как проверить поддерживаемые версии TLS/SSL со стороны сервера. Если вы хотите получить ту же информацию со стороны клиента, вам нужно использовать следующую команду. Но в отличие от NMAP, где перечислены все поддерживаемые протоколы, в OpenSSL вам нужно отдельно проверить, поддерживается ли каждый протокол или нет. Вот команда для проверки того, поддерживается ли TLS 1.2 или нет.
openssl s_client -connect g-soft.info:443 -tls1_2
Аналогично, вот команда для проверки, поддерживается ли TLS v1.3 или нет.
openssl s_client -connect g-soft.info:443 -tls1_3 /dev/null | grep ^New
openssl s_client -connect g-soft.info:443 -tls1 /dev/null | grep ^New
Полезно проверять поддерживаемые версии TLS/SSL на стороне клиента, если вам нужно совершать вызовы API или отправлять запросы на сайт. Это также полезно в случае, если вы хотите обрабатывать запросы, отправленные с определенного сайта. Например, если ваш сайт взаимодействует с платежным процессором, то вам необходимо узнать, какие протоколы поддерживаются на сайте платежного процессора, чтобы вы могли поддерживать их и на своем сайте.
В этом руководстве мы узнали, как выяснить, какие версии TLS/SSL поддерживаются вашей системой Linux.
Похожие записи:
How To Determine and Print OpenSSL Version?
OpenSSL is very long running project which have passed a lot of versions. Newer versions provides more features, bug fixes and security patches. For example in year 2014 a serious security hole Heart Bleed discovered in OpenSSL versions and affected OpenSSL libraries are defined as versions.Following versions was vulnerable to Hear Bleed.
So version is important part of the OpenSSL library.
Check and Print OpenSSL Version
We will use version verb with the OpenSSL command like below.
Print OpenSSL Directory
We can print the OpenSSL directory with version -d option like below.
Print Detailed Version Information
We can print more detailed version information like following
- Built time
- Platform and Architecture like 32 bit or 64
- Options
- Compiler flags
We can see in detailed version info that which cryptographic extensions and libraries are enabled like `-DSHA512 which specifies SHA512 is enabled.