Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Как мне проверить, работает ли возобновление SSL-сессии или нет?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Настройки сервера
  4. Тестирование с помощью OpenSSL
  5. Особенности вывода и анализ
  6. Заключение

Вопрос или проблема

Я использую nginx и хочу реализовать возобновление SSL-сессий. Как мне протестировать, работает ли это?

Я включил следующие настройки:

ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  10m;

Я не уверен, как протестировать это локально, но если ваш сайт общедоступен, SSL Labs предоставляет хороший инструмент для тестирования:

https://www.ssllabs.com/ssltest/index.html

Вы можете использовать openssl для локального тестирования:

openssl s_client -connect example.com:443 -reconnect -no_ticket -servername example.com

-servername требуется для SNI и может быть проигнорирован в противном случае.

Или:

openssl s_client -connect example.com:443 -no_ticket -sess_out /tmp/ssl_s -servername example.com
openssl s_client -connect example.com:443 -no_ticket -sess_in /tmp/ssl_s -servername example.com

(Опция -no_ticket необходима для отключения клиентских TLS-сессионных билетов, которые также позволяют возобновление сессии, но являются другой настройкой в nginx, и ограничивает тест до кеширования SSL-сессий на стороне сервера, которое контролирует конфигурация OP.)

Для первой команды вы получите вывод, похожий на этот:

удалить соединение и затем переподключиться
CONNECTED(00000003)
---
Использовалась, TLSv1/SSLv3, Шифр ECDHE-RSA-AES128-GCM-SHA256

Для последней команды вы получите это в случае возобновления сессии:

SSL handshake прочитано 142 байт и записано 583 байт
---
Использовалась, TLSv1/SSLv3, Шифр ECDHE-RSA-AES128-GCM-SHA256

или это в случае неудачи:

SSL handshake прочитано 5855 байт и записано 722 байт
---
Новое, TLSv1/SSLv3, Шифр DHE-RSA-AES256-GCM-SHA384

Вы можете видеть, что рукопожатие значительно больше, когда оно новое.

Ответ или решение

Для проверки корректности работы возобновления SSL-сессий на сервере, использующем nginx, можно воспользоваться несколькими подходами. Данная проблема требует подробного разбора, так как эффективное тестирование является основой безопасной и надежной работы веб-приложений.

Настройки сервера

Первым шагом убедитесь, что вы правильно настроили параметры SSL в конфигурации nginx:

ssl_session_cache    shared:SSL:10m;
ssl_session_timeout  10m;

  • ssl_session_cache: Данная директива определяет выделение памяти для хранения сессий. Обратите внимание на размер кэша. В вашем случае выделено 10 Мб, что должно быть достаточно для большинства сценариев.

  • ssl_session_timeout: Эта настройка определяет время жизни (TTL) сессий в кэше. 10 минут – это разумное значение, но в некоторых случаях его можно увеличить для повышения удобства пользователей.

Тестирование с помощью OpenSSL

Чтобы протестировать работоспособность возобновления сессий, вы можете использовать утилиту OpenSSL. Этот инструмент позволяет выполнить тестирование как локально, так и на публичных ресурсах.

  1. Первый тест: Выполните команду для простого тестирования соединения с вашим сервером и проверьте возможность повторного использования сессии:

    openssl s_client -connect example.com:443 -reconnect -no_ticket -servername example.com
    • Опция -reconnect позволяет открыть новое соединение и проверяет, будет ли оно использовано для возобновления сессии.
    • Опция -no_ticket отключает использование билетов сессии (TLS session tickets), что позволяет протестировать только кэш сессий на стороне сервера.

    Если возобновление сессии работает, вы увидите в выводе строку, начинающуюся с Reused, что свидетельствует о том, что сессия была успешно восстановлена.

  2. Второй тест: Вы можете сохранить сессию в файл, а затем повторно использовать его:

    openssl s_client -connect example.com:443 -no_ticket -sess_out /tmp/ssl_s -servername example.com
openssl s_client -connect example.com:443 -no_ticket -sess_in /tmp/ssl_s -servername example.com
    • Первая команда сохраняет сессию в файл /tmp/ssl_s, а вторая проверяет возможность использования этой сессии.
    • Если сессия восстановлена, в выводе будет показано, что соединение использует старую сессию (Reused). В противном случае, вы увидите строку со словами New, что указывает на новую сессию, и объем переданных данных будет значительно больше.

Особенности вывода и анализ

Вывод команд дает наглядное представление о работе возобновления сессий. Основные отличия в объеме данных при новой сессии и использованной показывают эффективность работы настроек SSL.

  • Объем переданных данных: Как указано в вашем примере, если сессия возобновлена, то объем переданных данных будет меньше, чем при новой сессии. Сравните объем данных и анализируйте время подключения, чтобы определить производительность.

Заключение

Тестирование работы возобновления SSL-сессий на сервере nginx – это важный шаг в обеспечении безопасности и удобства вашего веб-приложения. Используя подходы, описанные выше, вы сможете уверенно проверить правильность настроек и убедиться в корректном функционировании механизма сессий. Если вы обнаружите проблемы, внимательно изучите конфигурацию и используемые библиотеки SSL/TLS, чтобы устранить возможные несоответствия.

https nginx ssl
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности