
<div class="gmail_extra">Ralph</div><div class="gmail_extra"><br></div><div class="gmail_extra">I believe you are correct that this shows the Xymon server's list of cyphers.  I have different servers that I monitor, and they accept connections using different sets of ciphers (tested with "openssl s_client -cipher NAME-OF-CIPHER hostname") yet the lists of ciphers on each of the Xymon ssltcert status pages are identical.</div>


<div class="gmail_extra"><br></div><div class="gmail_extra">Also, the output of "openssl ciphers -v" on the Xymon server is suspiciously identical, in content and order, to those listed on the sslcert status page.</div>


<div class="gmail_extra"><br></div><div class="gmail_extra">Cheers</div><div class="gmail_extra">Jeremy<br><br><div class="gmail_quote">On Thu, Apr 26, 2012 at 2:59 PM, Ralph Mitchell <span dir="ltr"><<a href="mailto:ralphmitchell@gmail.com" target="_blank">ralphmitchell@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I was looking at the list of available ciphers in the sslcert column,<br>

and I'm wondering exactly what that's showing?  Even when the server<br>

is running mod_nss with FIPS-140 turned on, the ciphers list still<br>

includes 40-bit & 56-bit ciphers, which are definitely not supposed to<br>

be available.<br>

<br>

So, would I be right in thinking that "Available Ciphers" means<br>

"Ciphers available on the Xymon server", rather than "Ciphers that the<br>

remote system will accept"??<br>

<br>

I was hoping that it was showing the list of ciphers the remote server<br>

would accept, because that would tie-in with the "sslbits" option<br>

specifying a minimum encryption level.  As it is, if I set sslbits=256<br>

for my FIPS-140 server, xymon alerts because it thinks the minimum<br>

available bits is 40.<br>

<br>

I'm going to try sslscan (<a href="http://sourceforge.net/projects/sslscan/" target="_blank">http://sourceforge.net/projects/sslscan/</a>)<br>

tomorrow and see what it says.  From what I've read this evening, it<br>

may be necessary to hit the remote server with a request for every<br>

available encryption, and see what it will accept.  That's how sslscan<br>

does it.<br>

<br>

So, does anybody know for sure if the cipher list is local to the<br>

xymon server, or is it somehow gathered from the remote server??<br>

<span class="HOEnZb"><font color="#888888"><br>

Ralph Mitchell<br>

_______________________________________________<br>

Xymon mailing list<br>

<a href="mailto:Xymon@xymon.com">Xymon@xymon.com</a><br>

<a href="http://lists.xymon.com/mailman/listinfo/xymon" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>

</font></span></blockquote></div><br></div>