>> А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось
>> и почему он может не сработать, или твои комментарии вообще ниачем.
> SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения
> не создаются и conntrack отловит только один коннект.http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
"SSLInsecureRenegotiation Directive
Description: Option to enable support for insecure renegotiation
Syntax: SSLInsecureRenegotiation flag
Default: SSLInsecureRenegotiation off
Context: server config, virtual host
Status: Extension
Module: mod_ssl
Compatibility: Available in httpd 2.2.15 and later, if using OpenSSL 0.9.8m or later
As originally specified, all versions of the SSL and TLS protocols (up to and including TLS/1.2) were vulnerable to a Man-in-the-Middle attack (CVE-2009-3555) during a renegotiation. This vulnerability allowed an attacker to "prefix" a chosen plaintext to the HTTP request as seen by the web server. A protocol extension was developed which fixed this vulnerability if supported by both client and server.
If mod_ssl is linked against OpenSSL version 0.9.8m or later, by default renegotiation is only supported with clients supporting the new protocol extension. If this directive is enabled, renegotiation will be allowed with old (unpatched) clients, albeit insecurely."
Если мне не изменяет мой кривой английский, в SSL модуле апача 2.2, SSL-Renegotiation по дефолту выключен, так что не прокатит использовать тысячу подключений в одном. Я не прав?
Причем хочу заметить, а меня версия апача 2.2 под убунтой 10.04, не могу быть уверенным, но помоему у последнего стабильного дебиана, шестой шапки, у них у всех апач не ниже 2.2.
Выполняю команду:
# grep SSLInsecureRenegotiation /etc/apache2/mods-available/ssl.conf
в ответ получаю тишину, значит у меня задано дефолтное значение для SSL-Renegotiation, т.е. выключен. Если кто сомневается, может в ssl.conf своего апача прописать что-то вроде:
SSLInsecureRenegotiation off
Чтоб уж наверняк выключить, зафаерволиться и все наверно, нет?