Este tipo de protección está deshabilitada de forma predeterminada porque reduce el rendimiento y genera una sensación de frustración en los usuarios si no está configurada correctamente. No habilite las listas negras de clientes si usa una puerta de enlace, como un dispositivo de Unified Access Gateway, que presenta todas las conexiones cliente con la misma dirección IP.

Si se habilita, las conexiones desde los clientes de la lista negra se retrasan durante un periodo de tiempo configurable antes de procesarlas. Si se retrasan muchas conexiones del mismo cliente al mismo tiempo, se rechazan las conexiones desde ese cliente, en lugar de retrasarlas. Este umbral es configurable.

Para habilitar esta función, agregue la siguiente propiedad al archivo locked.properties:

secureHandshakeDelay = delay_in_milliseconds

Por ejemplo:

secureHandshakeDelay = 2000

Para que las conexiones HTTPS no se agreguen a una lista negra, elimine la entrada secureHandshakeDelay o asígnele el valor 0.

Cuando se produce un exceso de negociación TLS, la dirección IP cliente se agrega a la lista negra durante un periodo mínimo igual a la suma de handshakeLifetime y secureHandshakeDelay.

Tomando como ejemplo los valores anteriores, la dirección IP del cliente que tiene un comportamiento erróneo se envía a la lista negra durante 22 segundos:

 (20 * 1000) + 2000 = 22 seconds

El período mínimo se amplía cada vez que una conexión de la misma dirección IP tenga un comportamiento erróneo. La dirección IP se elimina de la lista negra después de que caduque el periodo mínimo y de que se procese la última conexión que se retrasó desde esa dirección IP.

La ejecución en exceso de un protocolo de enlace TLS no es la única razón para añadir un cliente a la lista negra. Otros motivos son las series de conexiones abandonadas o las series de solicitudes que acaban en error (por ejemplo, varios intentos de acceso a URL que no existen). Estos activadores tienen diferentes periodos mínimos para agregarse a una lista negra. Para ampliar la supervisión de estos activadores adicionales al puerto 80, agregue la siguiente entrada al archivo locked.properties:

insecureHandshakeDelay = delay_in_milliseconds

Por ejemplo:

 insecureHandshakeDelay = 1000

Para que las conexiones HTTP no se agreguen a una lista negra, elimine la entrada insecureHandshakeDelay o asígnele el valor 0.