2017年01月17日

IHSでSSLhandshake問題の調査方法

調査方法というより、トレースの取り方ですな。

トレースはIHS側のmod_sslのトレースと、
肝心の暗号処理を行っているgskitのトレースを取ることになります。
やり方は簡単で、ちょっと設定をいれて再起動するだけです。
めっちゃログがでるようになるので注意。

httpd.conf の LogLevelをdebugに
httpd.conf に SSLTraceを追加
export GSK_TRACE_FILE=/tmp/gsk_trace.log

IHS再起動で反映

終わったら、httpd.confを戻し、unset GSK_TRACE_FILE

もっと細かいオプション等はリンク先で。


ラベル:IHS ssl GSKit
posted by koteitan at 10:53| Comment(0) | TrackBack(0) | WebSphere | このブログの読者になる | 更新情報をチェックする

2017年01月08日

cipherのマッチング順序制御

デフォルトはクライアント優先

以下のパラメータが有効であると、サーバーが優先(SSLv3、TLS1.0の時)

Apache
SSLHonorCipherOrder 

Nginx
ssl_prefer_server_ciphers

BIGIP
Cipher server preference

IHS
無い。常にサーバーが優先
Does IHS have anything like mod_ssl's SSLHonorcipherorder?

No, IHS always uses the servers preference (acts like 'SSLHonorcipherorder on');



うむ、見事にバラバラである。
posted by koteitan at 16:49| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする