Skip to content

SSL Renegotiation

by Natanael Mignon on November 7th, 2011

Vor kurzem wurden Tools veröffentlich, welche mit Hilfe von clientseitiger SSL Renegotiation versuchen, Webserver so stark unter Last zu setzen, dass diese nicht mehr auf Anfragen reagieren können und somit die Seiten für den Zeitraum des Angriffs nicht zur Verfügung stehen (Denial of Service). Abhilfe können hier Loadbalancer wie der Citrix NetScaler schaffen, welcher auf eine effiziente Verarbeitung von SSL-Verschlüsselungen ausgelegt und als Hardware Appliance sogar mit SSL-Beschleuniger-Chips (Cavium) ausgestattet ist.

Darüber hinaus besteht bei vielen Webservern die Möglichkeit die clientseitige SSL Renegotiation zu deaktivieren. Standardmäßig ist dies z.B. bei neueren Versionen des Apache Webservers der Fall.

Steht zwischen Client und Webserver ein Loadbalancer, entsteht die Rechenlast im Normalfall nicht auf dem Backend sondern auf den davor geschalteten Loadbalancern. Um zu verhindern, dass es nun zu einer erhöhten Last auf den NetScalern kommt, besteht hier ebenfalls die Möglichkeit die clientseitige SSL Renegotiation zu deaktvieren:

Die Konfiguration erfolgt in der GUI über die Haupseite SSL -> „Change advanced SSL settings“ -> „Deny SSL Renegotiation“.

No comments yet

Leave a Reply

You must be logged in to post a comment.