3

У нас есть несколько веб-серверов IIS 8.5, работающих на Server 2012 R2 с включенным SSL/TLS.

Одна важная новая функция в IIS 8.5 - поддержка возобновления сеанса TLS. Это здорово, потому что это уменьшает трафик согласования TLS с двух RTT до одного. Мы работаем над сокращением данных для имеющейся у нас услуги, поэтому это очень важно.

Хорошая новость заключается в том, что он, похоже, «просто работает» в IIS 8.5 после привязки трафика https и присоединения сертификата. Мы видим рукопожатие TLS при первом запросе, а при последующих запросах мы просто видим обмен данными.

Кто-нибудь знает:

  • Каково время ожидания по умолчанию для возобновления сеанса TLS в IIS 8.5?
  • Как я могу настроить и настроить этот тайм-аут?

Дополнительные сведения о возобновлении сеанса TLS в Server 2012 R2 см. В документе Microsoft: https://technet.microsoft.com/en-us/library/hh831771.aspx.

Кроме того: Если кто-то может создать и пометить это с "iis-8.5", это будет очень цениться. У меня недостаточно очков на SuperUser для создания тегов.

Спасибо!

Изменить: я сделал немного больше тестирования. Это не зависит от пула приложений. Запуск, остановка и переработка пула приложений не приводили к повторному возникновению рукопожатия TLS. Однако перезапуск сайта в IIS (как предполагается) вызывает повторное рукопожатие.

1 ответ1

0

Жан Сан на форумах iis.net указал мне верное направление, а затем я провел еще несколько экспериментов, о которых вы увидите ниже. Я отвечаю и отмечаю это как ответ здесь, так что есть еще некоторая информация для этого. Вот сообщения оттуда (https://forums.iis.net/p/1231668/2119245.aspx)

Сообщение Жана Сана

Привет,

Попробуйте установить интервал тайм-аута кеша SSL, как это сделать, можно найти по следующей ссылке.

https://technet.microsoft.com/en-us/library/cc781248(v=ws.10).aspx

С уважением,

джинсовый

Мой пост вернулся с дополнительной информацией

Бинго. Это настройка. Спасибо!

Знаете ли вы, что является безопасным и рекомендуемым значением, если я ожидаю иметь несколько тысяч соединений каждые несколько минут 24/7? Это будут одни и те же клиенты, подключающиеся каждые несколько минут.

Кроме того, чтобы это работало, знаете ли вы, требуется ли клиенту использовать / отправлять пакеты keep-alive? Я не хочу, чтобы клиенты это делали.

Изменить: см. Примечание ниже. Похоже, что пакеты поддержки активности необходимы, но экономия данных для каждого запроса к серверу все еще происходит, если вы делаете более одного запроса каждые (примерно) 14 минут (из моего опыта).

Лучший,

Крис

Редактировать: После повторного просмотра трафика в Wireshark, кажется, что пакеты поддержки активности TCP отправляются с установленным ключом реестра или без него. Поэтому я отключил поддержку активности в IIS, и это нарушило эту функцию, независимо от того, какой ключ реестра был настроен. Похоже, что TLS keep-alive является основным клиентом возобновления TLS.

В случае, если кому-то еще нужно знать, TCP поддерживает пакеты размером 55 байтов (440 бит). По моим наблюдениям, они отправляются примерно каждые 45 секунд в течение максимального таймаута кеша SCHANNEL.

Еще одно своеобразное поведение:

Я установил кеш SCHANNEL в реестре на 2 минуты. До того, как я установил это на Server 2012 R2, у меня было около 2 часов времени кеширования, прежде чем снова произошло рукопожатие SSL/TLS.

После удаления раздела реестра IIS по-прежнему ссылается на это двухминутное значение кэширования даже после перезапуска сервера. Таким образом, после установки этого значения появляется необходимость увеличивать / уменьшать это время по желанию, поскольку вы не сможете вернуться к состоянию значения по умолчанию на сервере без его явной установки.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .