You are viewing a plain text version of this content. The canonical link for it is here.

Posted to users-de@httpd.apache.org by Sven Büsing <s....@babiel.com> on 2010/07/08 17:59:44 UTC

Problem mit SSL Re-Negotiation

Hallo,

wir versuchen Zurzeit eine SSL-Client-Authentifzierung zu implementieren, leider kommt es zu einem Re-Negotiation-Fehler, der vermutlich durch die Implementierung eines "Sicherheitsfeatures" in Java 6 Update 19 herrührt, der in Java unsichere Re-Negotiation unterbindet. Leider sind unsere Clients sehr speziell, so dass ich bisher noch nicht in der Lage war das Problem zu reproduzieren. Allerdings würde ich gerne wissen, ob es eine Möglichkeit gibt Re-Negotiation im Apache zu unterdrücken. Die SSLOption OptRenegotiate hat leider keinen Erfolg gebracht.

Wir setzten Apache in der Version 2.0.63 ein.

Das Sicherheitsfeature unter Java ist implementiert worden um einen Design-Fehler in SSL/TLS auszugleichen. Wäre es erfolgversprechend, den Apache gegen aktuellere SSL-Librarys zu kompilieren um neue Sicherheitsfeatures, die ggfs. genau diese Exploits adressieren, zu nutzen und das Problem zu beheben?

Mit freundlichem Gruß
Sven

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

AW: Problem mit SSL Re-Negotiation

Posted by Sven Büsing <s....@babiel.com>.

Hallo Mario,

vielen Dank für die schnelle Antwort. Das ist genau das was ich gesucht habe, ich werde es direkt einmal ausprobieren.

Gruß
Sven

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------

Re: Problem mit SSL Re-Negotiation

Posted by Mario Brandt <jb...@gmail.com>.

Hallo Sven,
im apache 2.2 wurde dies schon behoben und kann hier aber wieder
eingeschaltet werden[1].
Der patch dazu für Apache 2.2. [2]. Da es leider kein backport zu 2.0
kam, hoffe ich, dass Du den patch für Dich abändern kannst.


Gruß
Mario


[1] http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslinsecurerenegotiation
[2] http://www.apache.org/dist/httpd/patches/apply_to_2.2.14/CVE-2009-3555-2.2.patch

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------