このタイプの保護機能は、正しく設定していないとパフォーマンスが低下したり、ユーザーに不快感を与えるため、デフォルトでは無効になっています。Unified Access Gateway アプライアンスなどのゲートウェイを使用している場合は、すべてのクライアント接続が同じ IP アドレスで表されるため、クライアントのブラックリスト登録を有効にしないでください。

有効にすると、ブラックリストに登録されたクライアントからの接続は、一定の期間が経過するまで処理が延期されます。同じクライアントからの多くの接続が同時に遅延すると、そのクライアントからの以降の接続は拒否されます。このしきい値は設定可能です。

この機能を有効にするには、locked.properties ファイルに次のプロパティを追加します。

secureHandshakeDelay = delay_in_milliseconds

例:

secureHandshakeDelay = 2000

HTTPS 接続のブラックリスト登録を無効にするには、secureHandshakeDelay エントリを削除するか、0 に設定します。

TLS ハンドシェイクが過剰に発生すると、handshakeLifetimesecureHandshakeDelay の合計に等しい時間が経過するまで、そのクライアントの IP アドレスがブラックリストに追加されています。

上記の例では、誤動作したクライアントの IP アドレスは 22 秒間ブラックリストに追加されています。

 (20 * 1000) + 2000 = 22 seconds

同じ IP アドレスからの接続が誤動作するたびに、この最小期間は延長されます。最小期間が経過し、この IP アドレスから最後の遅延接続が処理されると、IP アドレスがブラックリストから削除されます。

クライアントがブラックリストに追加されていなくても、TLS ハンドシェイクに時間がかかる場合があります。たとえば、接続が繰り返し切断されたり、存在しない URL に繰り返し接続するなど、一連の要求が同じエラーで終了する場合などがあります。これらのトリガは、ブラックリストの最小期間が異なります。ポート 80 に対する追加トリガの監視を延長するには、locked.properties ファイルに次のエントリを追加します。

insecureHandshakeDelay = delay_in_milliseconds

例:

 insecureHandshakeDelay = 1000

HTTP 接続のブラックリスト登録を無効にするには、insecureHandshakeDelay エントリを削除するか、0 に設定します。