Temos o Apache 2.2.22 rodando no Ubuntu 12.04.
SSL está configurado e habilitado, com estas diretivas em /etc/apache2/mods-enabled/ssl.conf:
SSLSessionCache shm:/var/www/apache-ssl-cache/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/www/apache-ssl-cache/ssl_mutex
SSL parece funcionar. Podemos acessar o site via HTTPS, mesmo no IE8 no Windows XP. No entanto, não temos certeza se o cache de sessão SSL está realmente funcionando corretamente.
Vemos muitas dessas mensagens de nível INFO no log do nosso host virtual:
[info] [client <censored>] (70007)The timeout specified has expired: SSL input filter read failed.
ou
[info] [client <censored>] (70014)End of file found: SSL input filter read failed.
ou
[info] [client <censored>] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
A propagação de PRNG também parece acontecer com bastante frequência. Infelizmente, parece impossível dizer com segurança para qual processo filho do Apache bifurcado o PRNG está sendo propagado:
[info] Seeding PRNG with 656 bytes of entropy
Então, essas mensagens são indicativas de que o cache de sessão SSL não está funcionando (em processos filhos bifurcados do Apache)?
EDITAR
Encontrei vários sites que mencionam o uso openssl s_client -reconnectou gnutls-cli -Vrteste de cache de sessão SSL. Creio que apenas respondem a parte da questão: porque ambos os programasdesconectarem seguida, reconecte, eles apenas confirmam que a sessão SSL está armazenada em cache e pode ser reutilizadasequencialmente, mas eles não verificam se a sessão SSL em cache pode ser usadasimultaneamentepor vários servidores bifurcados, para o mesmo cliente. Na verdade, este é um cenário de uso típico com navegadores modernos ao extrair recursos de um site HTTPS).
Para verificar se a sessão SSL armazenada em cache pode ser usada simultaneamente, a primeira conexão de teste não deve ser fechada antes de abrir a próxima usando o mesmo ID/chave de sessão SSL. Infelizmente, nenhum dos utilitários parece ter essa opção.
Responder1
Você pode verificar com certeza usando um dos sites de análise SSL (por exemploTeste de servidor SSL da Qualys). Procure o resultado do 'teste de retomada da sessão': se disser 'Sim', o cache da sua sessão está funcionando.