Eu tenho servidor de sites da Nginx no FreeBSD. Na semana passada, decidimos descartar o suporte para a conexão SSLv3 em nosso site.
No entanto, estou me perguntando se o nginx tem logs de todos os clientes que não conseguem executar o handshake SSL com êxito. Seria ótimo se tivéssemos alguns dados sobre o endereço IP que ainda usam a conexão SSLv3.
Eu tentei procurar no log de erros do nginx. É aí que eu encontro apenas pequenos logs
2015/03/18 16:55:32 [error] 48792#0: accept4() failed (53: Software caused connection abort)
2015/03/19 19:47:05 [error] 48791#0: accept4() failed (53: Software caused connection abort)
2015/03/19 23:39:54 [error] 48791#0: OCSP_check_validity() failed (SSL: error:2707307D:OCSP routines:OCSP_check_validity:status expired) while requesting certificate status, responder: ocsp2.globalsign.com
Não há menção ao cliente anulado por falha de handshake SSLv3. O nginx pode ser configurado para registrar esse tipo de erro?
No log de acesso, você pode adicionar a variável $ ssl_protocol, mas isso só funcionará com protocolos SSL ativados, o que não é o caso com SSLv3. Com o log de erros você pode modificar o log_level para info e você irá obter informações sobre o protocolo SSL quando uma conexão for abortada:
2015/03/19 09:04:21 [info] 27759#0: *1 SSL_do_handshake() failed (SSL: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number) while SSL handshaking, client: 127.0.0.1, server: 0.0.0.0:443