Question

У нас есть приложение, работающее на Tomcat 6.0.32 и использующее JSSE (Java 1.6.0_26) для криптографической связи (HTTPS).Недавно мы проводили тестирование с использованием коннектора APR и OpenSSL.

Как мы можем проверить, что сеансы SSL кэшируются / используются повторно или генерируются на каждом соединении при использовании APR?Записывает ли APR информацию, связанную с SSL, в какой-либо файл журнала?

При использовании JSSE мы можем видеть информацию о рукопожатии SSL и сеансе в файле журнала tomcat (catalina.out), передавая -Djavax.net.debug=all -Djavax.net.ssl=ssl.handshake в JVM.Эти флаги не работают при использовании APR.

Marcio B. Jr. · Answer 1 · 24 марта 2012

Команда:

$ openssl s_client -reconnect -state -debug

предоставит вам некоторую информацию о кэшировании сеанса OpenSSL.

Было бы хорошо, если бы вы могли опубликовать версию OpenSSL, на которой работает ваш сервер.Что касается кэширования сеансов, в некоторых выпусках есть хорошо известные уязвимости.

С уважением.

Как проверить, что Tomcat с APR и OpenSSL кеширует сеансы SSL?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как проверить, что Tomcat с APR и OpenSSL кеширует сеансы SSL?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы