我想知道在使用python的openssl的包装器函数时,何时添加了默认密码选择为TLSv1.2密码的
确切时间。我能够在openssl的更改日志中找到这些数据。似乎尽管 TLSv1.2 支持是在 2012 年 3 月 14 日添加的,但它仅在 2016 年 8 月 25 日才成为默认选项。
1.0.0h 和 1.0.1 之间的变化 [2012 年 3 月 14 日]
*) 初始 TLS v1.2 支持。将新的 SHA256 摘要添加到 SSL 代码,切换 使用 TLS v1.2 及更高版本时,到 PRF 的 SHA256。添加新的基于 SHA256 密码套件。目前只有 RSA 密钥交换密码套件可以使用 TLS v1.2.为 TLS v1.2 添加新选项,替换旧的和过时的 SSL_OP_PKCS1_CHECK带有SSL_OP_NO_TLSv1_2的旗帜。新的 TLSv1.2 方法 和版本检查。
1.0.2h 和 1.1.0 之间的变化 [25 Aug 2016]
*) 对默认密码列表的更改: - 首选 (EC)DHE 握手而不是普通 RSA。 - 首选 AEAD 密码而不是传统密码。 - 当两个证书都可用时,首选 ECDSA 而不是 RSA。 - 首选 TLSv1.2 密码/PRF。 <--- - 从 默认密码列表。 [艾米莉亚·卡斯珀] [史蒂夫·汉森]
但这适用于 openssl 库。
对于pyopenssl,更新日志似乎不那么详细,一天后(2016年8月26日)有一个更新和版本发布(版本16.1.0),但他们没有提到这个细节。而且我无法在更新日志历史记录中找到提及pyopenssl使用的确切版本的openssl。
如果你正在看日期,你可以说[25 Aug 2016],因为openssl v1.1.0已经发布了,正如你提到的。
这不是pyopenssl版本的问题,而是您正在使用的openssl库版本的问题。由于pyopenssl,一个用于 python 的openssl包装库,不会修改openssl本身。因此,如果您使用的是 openSSL v1.1.0 或更高版本,则 TLS v1.2 是默认值,否则 TLS v1.2 不是默认值。