web-dev-qa-db-ja.com

TLS再ネゴシエーションの誘導

コマンドライン/カールリクエストを介してブラウザのSSL再ネゴシエーションを誘発することは可能ですか? レート制限ssl再ネゴシエーション が可能であることは知っていますが、逆の方法はわかりません。

F5ネットワークのBIG-IP製品からいくつかの主張が見つかりましたが、これがどのように達成されたかについての詳細はありません。

さらに、WebブラウザがTLSキーを再ネゴシエートするための基準は何ですか?

再ネゴシエーションはおそらく特定のタイムアウト後に行われると思います。その場合、ブラウザー(chromeまたはfirefox)でタイムアウト値を変更できます。

Apacheのmod_tlsでそれを行う方法についてはいくつかのリファレンスがありますが、私は特にWebブラウザーでそれを行うことを目指しています。ブラウザの再コンパイルを検討することができます。

tlsopensslsession-managementssl-interceptionsecure-renegotiation
1
user124499

再ネゴシエーションは通常、次の場合にHTTPクライアントで発生します。

  • サーバーは再ネゴシエーションを必要とします。これは通常、クライアントが以前のハンドシェイクに含まれていないクライアント証明書を必要とするリソースにアクセスしようとするためです。
  • 再ネゴシエーションは、一定の時間または転送されたバイト数の後、セキュリティ上の理由で行われます。 OpenSSLでは、これは BIO_set_ssl_renegotiate_bytesおよびBIO_set_ssl_renegotiate_timeout で調整できます。
  • 64ビットTLSシーケンス番号がオーバーフローする場合は、再ネゴシエーションが必要です

再ネゴシエーションが発生する時間または転送されたバイト数を調整した後、ユーザーまたは開発者でさえ調整する必要は実際にはありません。また、Chromiumのソースコードに関する短いgrepは、ブラウザがこれらのパラメータを明示的に設定する場所を示していません。つまり、基盤となるTLSスタックに依存しているだけです。これはOpenSSLの派生物であるChromiumの場合のBoringSSLなので、上記の関数を使用して、ソースコードを変更することで独自のチューニングを行うことができます。

2
Steffen Ullrich