概要
SSL資格情報をインポート後に侵入防御イベントに「更新エラー / Renewal Error」が複数記録されます。原因と対策について教えてください。
詳細
原因
イベント「更新エラー / Renewal Error」は所在のわからないキャッシュされたセッションキーによってSSLセッションが要求された際にイベントとして記録されます。本イベントが記録される理由として、主に以下の2種類が想定できます。
- SSL資格情報のインポート前にすでに確立済みのSSLセッションの内容が侵入防御Iルールで検査できなかった
- SSLの同時接続数が多いため、SSLセッションテーブルが上書きされてしまい、Agent側でSSLセッション情報を識別できなかった
対処方法
- SSL資格情報のインポート直後にこのイベントが多発している場合、特に対策の必要はありません。ユーザがブラウザを閉じるなどによってSSL資格情報のインポート前に確立済みのSSLセッションが徐々に減りますので、時間が経過することで本イベントはは記録されなくなります。即座にこの事象を改善したい場合、クライアント側でブラウザを再起動するか、Webサーバ側でサービスを再起動してください。
- 同時アクセス数の多さに起因してこのイベントが多発している場合、Agentに適用しているポリシーもしくは個々のコンピュータの詳細画面から[設定]-[詳細]タブをクリックし、「ネットワークエンジンの詳細オプション」欄にある以下の設定を調整します。
- SSLセッションのサイズ:
この設定は、Agentが保持するSSLセッションテーブルの最大数を定義します。初期設定値は2500です。 - SSLセッションの時間:
この設定は、個々のセッションがSSLセッションテーブルに保存されている時間を定義します。初期設定値は24時間で、個々のセッションがクローズされたか否かに関わらず、ここで設定された時間が経過するかもしくはセッションテーブルがいっぱいになるまでセッションテーブルに保持されます。
- SSLセッションのサイズ:
