Cookies de seguridad y restricción de longitud de ruta

1

Usando apache 2.2.3 en oracle enterprise linux.

Al configurar la siguiente configuración en httpd.conf: Encabezado edita Set-Cookie ^ (. *) $ $ 1; Seguro , La generación de cookies (que sucede en nuestra página de registro) se detiene.

En el certificado tenemos establecido "Restricción de longitud de ruta = Ninguna". Es un cert L1C encomendar. ¿Puede ser por eso?

    
pregunta Novice User 14.11.2012 - 19:59
fuente

2 respuestas

1

No hay relación entre el procesamiento de cookies y las extensiones de certificado. La restricción de longitud de ruta (en el Basic Constraint Extension de un certificado de CA) impone un límite en la longitud de la ruta del certificado más allá de esa CA; con una restricción de longitud de ruta igual a 1, ese certificado de CA es bueno para emitir certificados que no son de CA (por ejemplo, un certificado para un servidor SSL), pero no para emitir otros certificados de CA.

Las cookies se producen en el nivel HTTP, cuando el túnel SSL se ha establecido con éxito. No hay HTTP, por lo tanto no hay ninguna cookie, si algo sale mal con el túnel SSL; a la inversa, cuando las cookies entran en acción, todo salió bien con el protocolo de enlace SSL, en particular la validación del certificado del servidor y el procesamiento de las extensiones de certificado que esto conlleva.

    
respondido por el Thomas Pornin 01.05.2013 - 19:11
fuente
0

Al final, se resolvió el problema con compilaciones específicas de Apache Installed en nuestro servidor web. Sorprendentemente, todos tenían la versión 2.2.3, pero algunos de los afectados tenían la fecha de lanzamiento anterior a otros.

La actualización de apache a la misma versión resolvió el problema.

    
respondido por el Novice User 01.05.2013 - 18:23
fuente

Lea otras preguntas en las etiquetas