web-dev-qa-db-ja.com

FTPSでSSLセッションを再利用しないことのセキュリティへの影響

SSLセッションの再利用がないためにFTPSサーバーが接続を拒否する問題が発生しました。クライアントは実際にそれらを再利用する必要がありますが、機能しません。これはパフォーマンスに良くないことはよく知っていますが、現在1時間あたり数十の接続があるため、優先度は非常に低くなっています。

だから私はそれを使ってProFTPdを設定することでそれを解決しました

TLSOptions NoSessionReuseRequired

セキュリティ上の影響はありますか?

8
maaartinus

潜在的な問題 があります [〜#〜] pasv [〜#〜] モードFTPのセッション再開を無効にします。これらの問題は、セッションの再開によって解決されます。これにより、接続を開始した当事者が、現在データを送信している当事者と同じであることをサーバーが認識できるようになります(PASVモードは複数のポートを使用するため)。

ただし、一般に、セッションの再開を無効にすることによるセキュリティへの影響はありませんが、接続ごとに完全なTLSハンドシェイクを実行する必要がある場合、特に接続数が多い場合、サーバーの負荷が高くなります。その唯一の目的は、接続遅延を減らすことです。

セッションの再開には2つのタイプがあります。

  1. セッション識別子 は、セッション再開を実装するための独自の手法です。これらの識別子は、サーバーが各クライアントに与える一意の値です。サーバーは、セッション識別子とともにセッション情報を保存します。クライアントが2回目に接続すると、サーバーにセッションIDが提示され、サーバーはセッションを再開します。

  2. セッションチケット は、サーバーがクライアントに提供するセッションに関する情報を含むデータの暗号化されたblobです。クライアントはこのチケットをキャッシュして、次に接続したときにサーバーに送信します。これでサーバーは、チケットを復号化するためのキーを保存するだけで済みます。これはセッションIDに似ていますが、サーバーがクライアントごとのセッションを保存するのではなく、このストレージをクライアントにオフロードします。これは、セッション再開の最も一般的な形式です。

TLS 1.3はさらに、 -RTT と呼ばれる新しいタイプのセッション再開を追加します。

10
forest