У нас Apache 2.2.22 работает на Ubuntu 12.04.
SSL настроен и включен с помощью следующих директив /etc/apache2/mods-enabled/ssl.conf:
SSLSessionCache shm:/var/www/apache-ssl-cache/ssl_scache(512000)
SSLSessionCacheTimeout 300
SSLMutex file:/var/www/apache-ssl-cache/ssl_mutex
SSL, похоже, работает. Мы можем получить доступ к сайту через HTTPS, даже в IE8 на Windows XP. Однако мы не уверены, что SSL Session Cache на самом деле работает правильно.
Мы видим множество подобных сообщений уровня INFO в журнале нашего виртуального хоста:
[info] [client <censored>] (70007)The timeout specified has expired: SSL input filter read failed.
или
[info] [client <censored>] (70014)End of file found: SSL input filter read failed.
или
[info] [client <censored>] (70014)End of file found: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
Похоже, что PRNG-посев также происходит довольно часто. К сожалению, кажется невозможным достоверно сказать, для какого дочернего процесса Apache форка apache-посев происходит:
[info] Seeding PRNG with 656 bytes of entropy
Означают ли эти сообщения, что кэш сеанса SSL не работает (в ответвленных дочерних процессах Apache)?
РЕДАКТИРОВАТЬ
Я нашел несколько сайтов, которые упоминают использование openssl s_client -reconnectили gnutls-cli -Vrдля проверки кэширования сеанса SSL. Я считаю, что они отвечают только на часть вопроса: потому что обе программыОтключитьзатем повторно подключаются, они только подтверждают, что сеанс SSL кэширован и может быть использован повторнопоследовательно, но они не проверяют, можно ли использовать кэшированную сессию SSLодновременнонесколькими разветвленными серверами, к одному и тому же клиенту. Это на самом деле типичный сценарий использования с современными браузерами при извлечении ресурсов с веб-сайта HTTPS).
Чтобы проверить, что кэшированный сеанс SSL может использоваться одновременно, первое тестовое соединение не должно быть закрыто перед открытием следующего с использованием того же идентификатора/ключа сеанса SSL. К сожалению, ни одна из утилит, похоже, не имеет такой возможности.
решение1
Вы можете проверить это наверняка, воспользовавшись одним из сайтов анализа SSL (например,Тест SSL-сервера Qualys). Посмотрите на результат «теста возобновления сеанса»: если он показывает «Да», кэширование сеанса работает.