OpenSSL は、暗号スイートのグループとキー強度の動作を指定するセキュリティ レベルの概念をサポートしています。
システムのさまざまなセキュリティ レベルとそれらに関連付けられている暗号を確認するには、コマンド プロンプトで次のように入力します。
openssl ciphers -s -v ALL;@SECLEVEL=<n>
セキュリティ レベルに応じてセキュリティが向上します。MD5 署名などの項目のほか、解読された暗号スイートやセキュリティの低いキーなどの脆弱な項目は、セキュリティ レベルが高いと拒否されます。
Java、Chrome、Firefox の最新の更新など、新しいほとんどの製品ではデフォルトでセキュリティ レベル 1 に設定されています。
リリース 6.0 以降のデフォルトの TLS セキュリティ レベルは 1 です。デフォルトの TLS セキュリティ オプションを使用している場合、短い RSA キーのみに使用が制限されている一部の古いクライアントは接続できなくなります。それらのクライアントの動作を維持するには、セキュリティ レベルを 0 に変更します。ただし、この動作は非推奨であり、下位互換性のみを目的として提供されています。
独自の暗号スイートのコレクションを設定する場合、それらの暗号スイートのコレクションを変更してセキュリティ レベルを 0 にしない限り、新しい OpenSSL 1.1.1 のセキュリティ レベル 1 の動作を継承します。セキュリティ レベルを 0 にするには、暗号スイートのコレクションの前に @SECLEVEL=0 を付けます。