
<div dir="ltr">Thank you Matt for the quick response.<div>For "2," does it mean that every cipher suite can operate in multiple levels? </div><div>I thought that there were specific set of cipher suites operating in each of the levels. </div><div><br></div><div>Thanks,</div><div>Grace<br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 17, 2017 at 2:25 PM, Matt Caswell <span dir="ltr"><<a href="mailto:matt@openssl.org" target="_blank">matt@openssl.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>

<br>

On 17/10/17 09:21, Grace Priscilla Jero wrote:<br>

> Hi All,<br>

><br>

> 1)<br>

> The below APIs used to set the maximum and minimum versions are<br>

> available in 1.1.0f version of OPENSSL.<br>

><br>

>  int SSL_CTX_set_min_proto_version(<wbr>SSL_CTX *ctx, int version);<br>

>  int SSL_CTX_set_max_proto_version(<wbr>SSL_CTX *ctx, int version);<br>

>  int SSL_set_min_proto_version(SSL *ssl, int version);<br>

>  int SSL_set_max_proto_version(SSL *ssl, int version);<br>

><br>

>  Do you have the same in any of the 1.0.2x threads or plan to have it in<br>

> any later versions. We don't see it available in 1.0.2k or 1.0.2l<br>

> versions. Kindly update us on the same.<br>

<br>

</span>These APIs were first introduced into 1.1.0, and we intend to continue<br>

to support them moving forward in future versions. However they will not<br>

be backported to the 1.0.2 branch. We do not add new features to a<br>

stable branch.<br>

<br>

In 1.0.2 you must use the options SSL_OP_NO_SSLv3, SSL_OP_NO_TLSv1,<br>

SSL_OP_NO_TLSv1_1 and SSL_OP_NO_TLSv1_2 via the SSL_CTX_set_options() or<br>

SSL_set_options() functions.<br>

<span class=""><br>

<br>

><br>

> 2)<br>

> There are a set of APIs to set/get security level wherein each level<br>

> supports a set of cipher suites. Is there something available in OPENSSL<br>

> wherein I can get the level and set it when I provide a cipher suite.<br>

> We have a case where we give the user a provision to provide his own<br>

> list of cipher suites and we need to set the appropriate level in the<br>

> API so that we support it for the connections. Kindly provide your comments.<br>

<br>

</span>You can set the security level via the cipher string using the special<br>

cipher string command "@SECLEVEL". For example to set all default<br>

ciphersuites at security level 2 or above you can use:<br>

<br>

"DEFAULT:@SECLEVEL=2"<br>

<span class="HOEnZb"><font color="#888888"><br>

Matt<br>

<br>

--<br>

openssl-users mailing list<br>

To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/<wbr>mailman/listinfo/openssl-users</a><br>

</font></span></blockquote></div><br></div></div></div>