Wir haben Apache 2.2.22 auf Ubuntu 12.04 laufen.
SSL ist mit diesen Anweisungen konfiguriert und aktiviert /etc/apache2/mods-enabled/ssl.conf:
SSLSessionCache shm:/var/www/apache-ssl-cache/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/www/apache-ssl-cache/ssl_mutex
SSL scheint zu funktionieren. Wir können die Site über HTTPS aufrufen, sogar in IE8 unter Windows XP. Wir sind uns jedoch nicht sicher, ob der SSL-Sitzungscache tatsächlich richtig funktioniert.
Wir sehen viele dieser INFO-Meldungen im Protokoll unseres virtuellen Hosts:
[info] [client <censored>] (70007)The timeout specified has expired: SSL input filter read failed.
oder
[info] [client <censored>] (70014)End of file found: SSL input filter read failed.
oder
[info] [client <censored>] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
PRNG-Seeding scheint auch recht häufig vorzukommen. Leider scheint es unmöglich, zuverlässig zu sagen, für welchen gegabelten Apache-Kindprozess der PRNG geseedet wird:
[info] Seeding PRNG with 656 bytes of entropy
Sind diese Meldungen also ein Hinweis darauf, dass der SSL-Sitzungscache nicht funktioniert (über gegabelte untergeordnete Apache-Prozesse hinweg)?
BEARBEITEN
Ich habe verschiedene Websites gefunden, die die Verwendung openssl s_client -reconnectoder gnutls-cli -Vrdas Testen von SSL-Sitzungscaching erwähnen. Ich glaube, dass sie nur einen Teil der Frage beantworten: weil beide Programmetrennendann erneut verbinden, bestätigen sie nur, dass die SSL-Sitzung zwischengespeichert ist und wiederverwendet werden kannder Reihe nach, aber sie prüfen nicht, ob die zwischengespeicherte SSL-Sitzung verwendet werden kanngleichzeitigvon mehreren gegabelten Servern an denselben Client. Dies ist tatsächlich ein typisches Nutzungsszenario mit modernen Browsern beim Abrufen von Ressourcen von einer HTTPS-Website).
Um zu prüfen, ob die zwischengespeicherte SSL-Sitzung gleichzeitig verwendet werden kann, darf die erste Testverbindung nicht geschlossen werden, bevor die nächste mit derselben SSL-Sitzungs-ID/demselben Schlüssel geöffnet wird. Leider scheint keines der beiden Dienstprogramme eine solche Option zu haben.
Antwort1
Sie können dies auf einer der SSL-Analyseseiten überprüfen (z. B.SSL-Servertest von Qualys). Suchen Sie nach dem Ergebnis des „Sitzungswiederaufnahmetests“: Wenn es „Ja“ anzeigt, funktioniert Ihr Sitzungscache.