Hallo,
wir versuchen Zurzeit eine SSL-Client-Authentifzierung zu implementieren,
leider kommt es zu einem Re-Negotiation-Fehler, der vermutlich durch die
Implementierung eines "Sicherheitsfeatures" in Java 6 Update 19 herrührt, der
in Java unsichere Re-Negotiation unterbindet. Leider sind unsere Clients sehr
speziell, so dass ich bisher noch nicht in der Lage war das Problem zu
reproduzieren. Allerdings würde ich gerne wissen, ob es eine Möglichkeit gibt
Re-Negotiation im Apache zu unterdrücken. Die SSLOption OptRenegotiate hat
leider keinen Erfolg gebracht.
Wir setzten Apache in der Version 2.0.63 ein.
Das Sicherheitsfeature unter Java ist implementiert worden um einen
Design-Fehler in SSL/TLS auszugleichen. Wäre es erfolgversprechend, den Apache
gegen aktuellere SSL-Librarys zu kompilieren um neue Sicherheitsfeatures, die
ggfs. genau diese Exploits adressieren, zu nutzen und das Problem zu beheben?
Mit freundlichem Gruß
Sven
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [email protected]
sonstige Anfragen an [email protected]
--------------------------------------------------------------------------
