Мы запускаем Apache 2.2.22 с OpenSSL 0.98, один из наших хостов Citrix NetScaler не может отправить сертификат клиента после подтверждения SSL, поскольку мы должны отключить SSLInsecureRenegotiation в качестве стандарта безопасности.
Есть ли способ динамически установить эту директиву на основе Remote_Addr? Я пробовал так много настроек, но, как я предполагаю, не существует способа выборочно разрешить SSLInsecureRenegotiation для одного пользовательского агента или IP?
Мы уже установили патч до последней версии NetScaler 10, но после первоначального подтверждения SSL запрос на повторное согласование отправляется обратно от Apache к NetScaler, поскольку, поскольку для LocationMatch требуется сертификат клиента, он никогда не отвечает на то, чтобы Apache завершил сеанс. - http://tools.ietf.org/html/rfc5746#section-3.5 . Citrix сообщает нам, что правила нисходящего потока обычно находятся в «доверенной» сети и не поддерживаются с использованием клиентского метода. Можно ли различать запросы и то, как директива SSLInsecureRenegotiation вызывается каким-либо идентификатором хоста или IP?
Некоторые комментарии с другого форума -
Я не верю, что его можно установить где-либо ниже уровня виртуального сервера, поэтому я думаю, что это нужно решать на балансировщике нагрузки (несмотря на то, что может сказать Citrix). Кажется, что они имеют довольно много разных значений, которые можно установить для повторного согласования TLS, включая полное отключение поддержки повторного согласования между клиентом и сервером. Может быть, размещение этого вопроса на serverfault поможет? - mahnsc 14 часов назад
Привет, проблема больше в том, что разгрузка SSL предназначена для работы перед веб-серверами, а не с клиентами, но, к сожалению, наш проект все равно продолжался. Citrix не полностью реализовал расширение RFC 5746 для предотвращения атак «злоумышленник посередине» из бэкэнда, поскольку они считают бэкэнд за Netscaler (логичным в этом обратном контексте) надежным каналом, при этом Apache размещается на стороннем сервере со строгой безопасностью правила для всего трафика. Я, вероятно, смог бы убедить их установить особый случай для нашего хоста, но не могу найти способ установить директиву во время сеанса. - ev4nsj 14 минут назад
Вам необходимо применить обновление к вашим хостам NetScaler, как описано в Бюллетень по безопасности Citrix CTX123359.
Версия прошивки устройства 8.1, сборка 68.7 или новее и версия 9.1, сборка 99.8 или новее.