Tenemos Apache 2.2.22 ejecutándose en Ubuntu 12.04.
SSL está configurado y habilitado, con estas directivas en /etc/apache2/mods-enabled/ssl.conf:
SSLSessionCache shm:/var/www/apache-ssl-cache/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/www/apache-ssl-cache/ssl_mutex
SSL parece funcionar. Podemos acceder al sitio a través de HTTPS, incluso en IE8 en Windows XP. Sin embargo, no estamos seguros de si la caché de sesión SSL realmente funciona correctamente.
Vemos muchos de estos mensajes de nivel INFORMACIÓN en el registro de nuestro host virtual:
[info] [client <censored>] (70007)The timeout specified has expired: SSL input filter read failed.
o
[info] [client <censored>] (70014)End of file found: SSL input filter read failed.
o
[info] [client <censored>] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
La siembra de PRNG también parece ocurrir con bastante frecuencia. Desafortunadamente, parece imposible saber de manera confiable para qué proceso secundario de Apache bifurcado se está sembrando el PRNG:
[info] Seeding PRNG with 656 bytes of entropy
Entonces, ¿estos mensajes indican que la caché de sesión SSL no funciona (en procesos secundarios de Apache bifurcados)?
EDITAR
He encontrado varios sitios que mencionan el uso openssl s_client -reconnecto gnutls-cli -Vrprueba del almacenamiento en caché de sesiones SSL. Creo que sólo responden a una parte de la pregunta: porque ambos programasdesconectarluego se vuelven a conectar, solo confirman que la sesión SSL está almacenada en caché y se puede reutilizarsecuencialmente, pero no verifican si se puede usar la sesión SSL en cachéal mismo tiempopor múltiples servidores bifurcados, al mismo cliente. En realidad, este es un escenario de uso típico con los navegadores modernos cuando se extraen recursos de un sitio web HTTPS).
Para comprobar que la sesión SSL almacenada en caché se puede utilizar simultáneamente, la primera conexión de prueba no debe cerrarse antes de abrir la siguiente utilizando la misma ID/clave de sesión SSL. Desafortunadamente, ninguna de las empresas de servicios públicos parece tener esa opción.
Respuesta1
Puede comprobarlo con seguridad utilizando uno de los sitios de análisis SSL (p. ej.Prueba del servidor SSL de Qualys). Busque el resultado de la 'prueba de reanudación de sesión': si dice 'Sí', el almacenamiento en caché de su sesión está funcionando.