Ce type de protection est désactivé par défaut, car cela peut réduire les performances et gêner les utilisateurs s'il n'est pas correctement configuré. N'activez pas la mise sur liste noire du client si vous utilisez une passerelle, telle qu'un dispositif Unified Access Gateway, qui présente toutes les connexions clientes en tant que même adresse IP.
Si cette option est activée, les connexions des clients sur la liste noire sont retardées pendant une période configurable avant le traitement. Si plusieurs connexions du même client sont retardées simultanément, d'autres connexions de ce client sont refusées, plutôt que retardées. Ce seuil est configurable.
Vous pouvez activer cette fonctionnalité en ajoutant la propriété suivante au fichier locked.properties
:
secureHandshakeDelay = delay_in_milliseconds
Par exemple :
secureHandshakeDelay = 2000
Pour désactiver la mise sur liste noire des connexions HTTPS, supprimez l'entrée secureHandshakeDelay
ou définissez-la sur 0.
Lorsqu'une négociation TLS dépasse la durée, l'adresse IP du client est ajoutée à la liste noire pendant une période minimale égale à la somme de handshakeLifetime
et de secureHandshakeDelay
.
En utilisant les valeurs des exemples ci-dessus, l'adresse IP d'un client avec un mauvais comportement est mise sur liste noire pendant 22 secondes.
(20 * 1000) + 2000 = 22 seconds
La période minimale est étendue chaque fois qu'une connexion à partir de la même adresse IP a un mauvais comportement. Une fois que la période minimale a expiré et que la dernière connexion retardée à partir de cette adresse IP est traitée, l'adresse IP est supprimée de la liste noire.
Une négociation TLS qui dépasse la durée n'est pas la seule raison pour mettre un client sur liste noire. Les autres raisons incluent une série de connexions abandonnées ou une série de demandes se terminant par erreur, telles que plusieurs tentatives pour accéder à des URL inexistantes. Ces déclencheurs ont des périodes de mise sur liste noire minimales différentes. Pour étendre la surveillance de ces déclencheurs supplémentaires au port 80, ajoutez l'entrée suivante au fichier locked.properties
:
insecureHandshakeDelay = delay_in_milliseconds
Par exemple :
insecureHandshakeDelay = 1000
Pour désactiver la mise sur liste noire des connexions HTTP, supprimez l'entrée insecureHandshakeDelay
ou définissez-la sur 0.