Como saber se o cache de sessão SSL está funcionando corretamente com o Apache 2.2?

7

Temos o Apache 2.2.22 rodando no Ubuntu 12.04.

O SSL é configurado e ativado com essas diretivas em /etc/apache2/mods-enabled/ssl.conf :

SSLSessionCache shm:/var/www/apache-ssl-cache/ssl_scache(512000)
SSLSessionCacheTimeout  300
SSLMutex file:/var/www/apache-ssl-cache/ssl_mutex

O SSL parece funcionar. Podemos acessar o site através de HTTPS, mesmo no IE8 no Windows XP. No entanto, não temos certeza se o cache de sessão SSL está funcionando corretamente.

Nós vemos muitas dessas mensagens em nível INFO no log do nosso host virtual:

[info] [client <censored>] (70007)The timeout specified has expired: SSL input filter read failed.

ou

[info] [client <censored>] (70014)End of file found: SSL input filter read failed.

ou

[info] [client <censored>] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
A semeadura de PRNG também parece acontecer com bastante frequência. Infelizmente, parece impossível dizer com segurança para qual processo filho do apache bifurcado o PRNG está sendo propagado:

[info] Seeding PRNG with 656 bytes of entropy

Então, essas mensagens indicam que o cache de sessão SSL não está funcionando (entre os processos filho do apache bifurcados)?

EDITAR

Encontrei vários sites que mencionam o uso de openssl s_client -reconnect ou gnutls-cli -Vr para testar o armazenamento em cache da sessão SSL. Eu acredito que eles só respondem parte da questão: porque ambos os programas desconectam então reconectam, eles somente confirmam que a sessão SSL é armazenada em cache e pode ser reutilizada sequencialmente , mas eles não Verifique se a sessão SSL em cache pode ser usada simultaneamente por vários servidores bifurcados, para o mesmo cliente. Esse é, na verdade, um cenário de uso típico com navegadores modernos ao extrair recursos de um site HTTPS).

Para verificar se a sessão SSL em cache pode ser usada simultaneamente, a primeira conexão de teste não deve ser fechada antes de abrir a próxima usando a mesma ID / chave de sessão SSL. Infelizmente, nenhum utilitário parece ter essa opção.

    
por Kal 05.09.2013 / 05:20

1 resposta

4

Você pode verificar com certeza usando um dos sites de análise SSL (por exemplo, teste de servidor SSL da Qualys ) . Procure o resultado do 'teste de retomada da sessão': se ele diz 'Sim', o cache da sua sessão está funcionando.

    
por 05.09.2013 / 10:06