タイプ: integer
デフォルト: 0 (0kB)
分: 0 (0kB)
最大: 2147483647 (2147483647kB)
単位: KB
コンテキスト: user
再起動: false
廃止予定: 9.4

そのセッションキーの再調停が行われる前に、SSL暗号化接続上で、どれだけの量のデータが流れても良いかを指定します。 再調停は攻撃者が大量のトラフィックを送出した場合、暗号解析を行う機会を減少させます。しかし、同時に多大な性能上の不利益をもたらします。 送出されたのと受け取られたトラフィックの合計はその限度の検証に使用されます。もしパラメータが0に設定されると再調停は無効になります。デフォルトは0です。

SSLプロトコルにおける脆弱性によりSSL再調停を使用した場合、2009年11月以前のSSLライブラリは安全でありません。 この脆弱性への応急的な対処として、いくつかのベンダーは再調停を行う機能がないSSLライブラリを出荷しました。 もしこれらのライブラリがクライアントまたはサーバで使用されているのであれば、SSL再調停は無効にすべきです。

再調停を有効にした際のOpenSSLのバグにより、ssl_renegotiation_limitを0以外にすると、長時間に渡る接続が切れてしまうような問題を引き起こす可能性があります。

件のコメント