このタイプの保護機能は、正しく設定していないとパフォーマンスが低下したり、ユーザーに不快感を与えるため、デフォルトでは無効になっています。Unified Access Gateway アプライアンスなどのゲートウェイを使用している場合は、すべてのクライアント接続が同じ IP アドレスで表されるため、クライアントの拒否リストへの登録を有効にしないでください。

有効にすると、拒否リストに登録されたクライアントからの接続は、一定の期間が経過するまで処理が延期されます。同じクライアントからの多くの接続が同時に遅延すると、そのクライアントからの以降の接続は拒否されます。このしきい値は設定可能です。

この機能を有効にするには、locked.properties ファイルに次のプロパティを追加します。

secureHandshakeDelay = delay_in_milliseconds

例:

secureHandshakeDelay = 2000

HTTPS 接続の拒否リストへの登録を無効にするには、secureHandshakeDelay エントリを削除するか、0 に設定します。

TLS ハンドシェイクが過剰に発生すると、handshakeLifetimesecureHandshakeDelay の合計に等しい時間が経過するまで、そのクライアントの IP アドレスが拒否リストに追加されています。

上記の例では、誤動作したクライアントの IP アドレスは 22 秒間拒否リストに追加されています。

 (20 * 1000) + 2000 = 22 seconds

同じ IP アドレスからの接続が誤動作するたびに、この最小期間は延長されます。最小期間が経過し、この IP アドレスから最後の遅延接続が処理されると、IP アドレスが拒否リストから削除されます。

クライアントが拒否リストに追加されていなくても、TLS ハンドシェイクに時間がかかる場合があります。たとえば、接続が繰り返し切断されたり、存在しない URL に繰り返し接続するなど、一連の要求が同じエラーで終了する場合などがあります。これらのトリガは、拒否リストの最小期間が異なります。ポート 80 に対する追加トリガの監視を延長するには、locked.properties ファイルに次のエントリを追加します。

insecureHandshakeDelay = delay_in_milliseconds

例:

 insecureHandshakeDelay = 1000

HTTP 接続の拒否リストへの登録を無効にするには、insecureHandshakeDelay エントリを削除するか、0 に設定します。