Можно ли через журнал или что-то просмотреть клиентов, отклоненных при отключении SSLv3? Я вижу, что страница отображается как "невозможно отобразить", но я не могу найти свой запрос ни в одном журнале Apache. Кажется, что запрос регистрируется где-то, если Apache отказывается от него. Сервер, который отклоняет запросы, является прокси.
По сути, я хочу убедиться, что последствия отключения SSLv3 столь же незначительны, как и было сказано.
Попробуйте включить ведение журнала для mod_ssl. По умолчанию он выключен. К сожалению, вы не сказали, какую версию mod_ssl вы используете.
Более новые версии mod_ssl используют директивы ErrorLog и LogLevel. Добавьте следующее в ssl.conf:
ErrorLog /var/log/apache2/ssl_engine.log
LogLevel warn
Вы также можете использовать формат CustomLog в Apache:
CustomLog /var/log/apache2/ssl_engine.log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
Более старые версии mod_ssl используют SSLLog и SSLLogLevel, как описано ниже:
SSLLog
Эта директива устанавливает имя выделенного файла журнала механизма протокола SSL. Сообщения типа ошибок дополнительно дублируются в общий файл журнала ошибок Apache (директива ErrorLog). Поместите это где-нибудь, где оно не может быть использовано для атак по символическим ссылкам на реальный сервер (то есть где-то, где может писать только root). Если имя файла не начинается с косой черты ('/'), то предполагается, что оно относится к корню сервера. Если имя файла начинается с черты ('|'), то следующая строка считается путем к исполняемой программе, к которой можно установить надежный канал. Директива должна появляться только один раз для конфигурации виртуального сервера.
Пример:
SSLLog /usr/local/apache/logs/ssl_engine_log
Источники: