我们有一个在Tomcat 6.0.32上运行的应用程序,并使用JSSE(Java 1.6.0_26)进行加密通信(HTTPS)。最近,我们正在测试APR连接器和OpenSSL。
在使用APR时,我们如何验证是否正在缓存/重用或在每个连接上生成SSL会话? APR是否将SSL相关信息写入某个日志文件?
使用JSSE时,我们可以通过将-Djavax.net.debug=all -Djavax.net.ssl=ssl.handshake传递给JVM来查看tomcat日志文件(catalina.out)中的SSL握手和会话信息。这些标志在使用APR时不起作用。
答案 0 :(得分:1)
命令:
$ openssl s_client -reconnect -state -debug
应提供OpenSSL会话缓存的一些信息。
如果您可以发布服务器正在运行的OpenSSL版本,那就太好了。关于会话缓存,there are well known vulnerabilities in some releases。
问候。