Configurar a retomada da sessão TLS do IIS 8.5?

Navegue suas respostas
3

Temos alguns servidores web do IIS 8.5 em execução no Server 2012 R2 com SSL / TLS ativado.

Um novo recurso importante no IIS 8.5 é o suporte para a retomada da sessão de TLS. Isso é ótimo porque reduz o tráfego de negociação TLS de dois RTTs para um. Estamos trabalhando em alguma redução de dados para um serviço que temos, então isso é fundamental.

A ótima notícia é que parece "funcionar" no IIS 8.5 após vincular o tráfego https e anexar o certificado. Vemos o handshake TLS na primeira solicitação e, em solicitações subsequentes, acabamos de ver os dados sendo trocados.

Alguém sabe:

  • Qual é o tempo limite padrão para a retomada da sessão TLS no IIS 8.5?
  • Como posso ajustar e configurar esse tempo limite?

Para mais informações sobre o reinício da sessão TLS no Server 2012 R2, consulte este documento da Microsoft: link

Também: Se alguém puder criar e etiquetar isso com o "iis-8.5", isso será muito apreciado. Eu não tenho pontos suficientes no SuperUser para criar tags.

Obrigado!

Editar: eu fiz um pouco mais de testes. Isso não parece depender do pool de aplicativos. Iniciar, parar e reciclar o pool de aplicativos não fez com que o handshake de TLS voltasse a ocorrer. No entanto, reiniciar o site no IIS (como presumido) dispara um novo handshake.

    
por cvocvo 08.04.2016 / 21:23

1 resposta

0

Jean Sun nos fóruns do iis.net me apontou na direção certa e então fiz mais algumas experiências com as que você verá abaixo. Eu estou respondendo e marcando isso como a resposta aqui, então há mais algumas informações disponíveis para isso. Aqui estão as mensagens de lá ( link )

Posto de Jean Sun

Oi,

Por favor, tente definir o intervalo de tempo limite de cache SSL, você pode encontrar como fazê-lo no link a seguir.

link

Atenciosamente,

Jean

Minha postagem de volta com mais detalhes

Bingo. Essa é a configuração. Obrigada!

Você sabe qual é o valor seguro e recomendado se eu estou esperando ter alguns milhares de conexões em intervalos de alguns minutos, 24 horas por dia? Seriam os mesmos clientes conectando-se a cada poucos minutos.

Além disso, para que isso funcione, você sabe se é necessário que o cliente use / envie pacotes keep-alive? Eu não quero que os clientes façam isso.

Editar: Veja a nota abaixo. Parece que os pacotes keep alive são necessários, mas a economia de dados por solicitação do servidor ainda ocorre se você fizer mais de uma solicitação a cada (aproximadamente) 14 minutos (da minha experiência).

Melhor,

Chris

Editar: Depois de olhar novamente para o tráfego no Wireshark, parece que os pacotes TCP keep-alive estão sendo enviados com ou sem a chave do registro sendo configurada. Então desativei o keep-alive no IIS e ele quebrou essa funcionalidade, independentemente da chave de registro que está sendo configurada. Parece que o TLS keep-alive é um inquilino central da retomada do TLS.

No caso de alguém precisar saber, os pacotes TCP keep alive possuem tamanho de 55 bytes (440 bits). Pela minha observação, eles são enviados aproximadamente a cada 45 segundos durante o tempo limite máximo do cache SCHANNEL.

Um outro comportamento peculiar:

Eu configurei o cache SCHANNEL no registro para 2 minutos. Antes de definir isso no Server 2012 R2, estava passando aproximadamente duas horas de cache antes que o handshake SSL / TLS ocorresse novamente.

Depois de remover a chave do Registro, o IIS ainda parece estar fazendo referência a esse valor de armazenamento em cache de dois minutos mesmo após a reinicialização do servidor. Por isso, depois de definir esse valor, você precisa aumentar / diminuir esse tempo conforme desejado, porque você não poderá voltar ao estado de valor padrão do servidor sem que seja explicitamente definido dessa maneira.

    
por 19.04.2016 / 23:02

Tags

Determine se um documento está aberto em um editor Como evito que as janelas se movam quando a resolução da área de trabalho é alterada?