ssl_only_verify_literally
デフォルトでは、このリリースおよび以前のリリースでは、SSL/TLS クライアントで意図した接続ターゲットと異なる IP アドレスにあるサーバーを信頼することができます。
この信頼は、サーバーが使用している識別証明書のサブジェクト代替名 (SAN) または共通名 (CN) として使用されているターゲット名の DNS 別名がサーバーにある場合に確立されます。この機能は非推奨であり、今後のリリースでは削除されます。この動作は、下位互換性を保つために維持されています。
ssl_only_verify_literally オプションを使用すると、セキュリティを向上させるために証明書チェックを制限できます。より厳格なこの動作は、CCI.INI のオプションとして指定するとグローバルに適用できます。あるいは、特定のアプリケーション構成として使用することもできます。特定のアプリケーション構成は、このオプションをサポートするアプリケーションで記述されています。
このオプションの構成をまだサポートしていないアプリケーションを使用する場合は、次の CCI.INI 設定を使用してアプリケーションの動作を上書きできます。
[ccitcp-base]
ssl_only_verify_literally=[yes|true|no|false]
詳細は次のとおりです。
- yes|true
- SAN および CN の識別情報を厳密にチェックします。DNS ルックアップの使用は許可されません。指定された接続アドレスは、タイプに応じて SAN または CN のいずれかの文字列と一致する必要があります。つまり、IP アドレスはタイプ「IP Address:」の SAN でなければならず、サーバー名はタイプ「DNS:」の SAN エントリ (CN) と一致しなければなりません。
- no|false
- デフォルト。IP アドレスの DNS ルックアップを有効にして、ピアの証明書の内容を比較するテキスト ベースのロケーション名を取得します。
注: アプリケーションによっては、このオプションが個々のアプリケーションの構成オプションの一部として公開される場合もあります。
終了ネゴシエーション
一般的なソケット リンガー オプションの代わりに、制御接続終了ネゴシエーション シーケンスを使用して接続を終了することができます。
制御接続終了ネゴシエーションは次の順序で処理されます。
- 接続の書き込み可能な部分のシャットダウンを呼び出します。これにより、接続でデータを受信している可能性がある他のスレッドの受信シーケンスが完了し、受信データを処理できるようになります。この操作によって、FIN フラグがピアに送信されます。
- 終了ネゴシエーションのタイムアウトが設定されている場合は、データの受信が完了するのを待ちます。この時点で、ピアから FIN 確認応答を受信するかタイムアウトするかのいずれかになります。
- シャットダウンおよびソケットの読み取り側が終了します。
- ソケットが閉じます。
この方法では、ソケット記述子が対話終了ハンドシェイクが完了するまで有効になります。別の方法として、ソケット リンガー オプションを使用することもできます。
CCI.INI で close_negotiate_msecs オプションを使用して、待機時間を指定し、接続の終了に制御接続終了ネゴシエーションとソケット リンガーのどちらの方法を使用するかを制御できます。
[ccitcp_base]
close_negotiate_msecs=[yes|no|disabled|<n>]
詳細は次のとおりです。
- yes|-2
- デフォルト。ピアが終了するのを 2 秒間待ちます。
- no|disabled|0
- 制御接続終了ネゴシエーションの動作を無効にし、SO_LINGER を使用して終了します。
- -1
- ピア側でソケットが終了されるまで待ちます。Micro Focus では、このオプションは使用しないことをお勧めします。
- >0
- ピアが終了するのを指定した時間 (ミリ秒) だけ待ちます。
注: close_negotiate_msecs オプションの構成は一部のアプリケーションでサポートされます。オプションがアプリケーションに存在する場合は、CCI.INI で指定されているオプションよりも優先して使用されます。