Tengo tres servidores Apache 2.4.6 con equilibrio de carga que se ejecutan en instalaciones nuevas de CentOS 7. El equilibrador de carga es un Barracuda 340. Sé que es antiguo, pero es más que capaz de manejar el tráfico y todo funciona muy bien con el sitio real que alojan. Todos los servidores tienen NAT detrás de un firewall y no tienen direcciones IP públicas. Sin embargo, exactamente cada treinta segundos, veo los mismos 3 errores de SSL en mis registros de Apache. En los siguientes registros, sub.example.com representa un subdominio que es diferente del que realmente alojan los servidores en cuestión. Y 10.0.0.123 es la dirección IP del equilibrador de carga en la red interna.
[Fri May 01 06:28:37.315078 2015] [ssl:info] [pid 13873] [client 10.0.0.123:37617] AH01964: Connection to child 5 established (server sub.example.com:443)
[Fri May 01 06:28:37.315175 2015] [ssl:debug] [pid 13873] ssl_engine_io.c(1201): (70014)End of file found: [client 10.0.0.123:37617] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Fri May 01 06:28:37.315183 2015] [ssl:info] [pid 13873] [client 10.0.0.123:37617] AH01998: Connection closed to child 5 with abortive shutdown (server sub.example.com:443)
Si tuviera problemas para negociar la conexión con el sitio alojado, tendría algo con qué continuar, pero el sitio real funciona perfectamente. Simplemente no quiero que mis registros de errores estén llenos de basura. Cualquier ayuda es muy apreciada.
Respuesta1
En los siguientes registros, sub.example.com representa un subdominio que es diferente del que realmente alojan los servidores en cuestión.
[Fri May 01 06:28:37.315175 2015] [ssl:debug] [pid 13873] ssl_engine_io.c(1201): (70014)End of file found: [client 10.0.0.123:37617] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
Compruebe si sub.example.com se resuelve en la misma dirección IP que example.com (o al menos una de las IP del equilibrador de carga). Si este es el caso, entonces alguien podría intentar acceder al sitio equivocado pero detenerse durante el protocolo de enlace SSL porque el certificado no coincide con la URL a la que se accedió. Dado que el mensaje se repite cada 30 segundos, podría ser algún tipo de automatismo que podría haber funcionado en el pasado y tal vez dejó de funcionar después de realizar cambios en su sitio. Es posible que también haya dejado de funcionar después de cambios en el lado del cliente, porque varios lenguajes de script y herramientas ahora verifican el certificado de forma predeterminada y no lo hacían en el pasado.
Para detectar el origen del cliente probablemente tendrás que buscar en archivos de registro o realizar capturas de paquetes en lugares estratégicos para averiguar la IP del cliente. Si tiene acceso a la configuración de DNS, también puede simplemente señalar sub.example.com a ninguna parte.
Respuesta2
Parece que el equilibrador de carga está buscando puertos activos... pero no está negociando hasta el final como esperaría Apache... no hay nada de qué preocuparse...
¿Quizás puedas cambiar el mecanismo de sondeo en el LB para obtener una URL real?