更新
阅读有关此问题的http-dev线程(存档在http://www.gossamer-threads.com/lists/apache/dev/375633)后,似乎此问题是由客户端OpenSSL库中的错误引起的有关如何处理SSL票证/ ID的信息,这说明了为什么错误不会立即发生而是需要几秒钟到几分钟的时间。该决议是在11月2日确定的,即OpenSSL 0.9.8l发布三天前。该线程未明确说明是否/何时将修补程序应用于OpenSSL,但我认为可以将其固定在0.9.8m中,我相信m-beta更改日志中的此项已涵盖了该问题:
*)修复了无状态会话恢复处理。如果在服务器名称处理期间更改了票证,则在发出和尝试对票证进行解密时,请使用initial_ctx。尝试无状态会话恢复时,请使用非零长度的会话ID:这使得可以确定在收到服务器问候后是否立即发生了恢复(OpenSSL中的多个地方巧妙地假定了这一点),而不是稍后进行握手。
原始帖子
我在Gentoo的Apache-2.2.14上遇到了类似的问题。供参考,这是我的USE标志:
[ebuild R ] dev-libs/openssl-0.9.8l-r2 USE="zlib -bindist -gmp -kerberos -sse2 -test" 4,082 kB
[ebuild R ] www-servers/apache-2.2.14-r1 USE="ssl -debug -doc -ldap (-selinux) -static -suexec -threads" APACHE2_MODULES="actions alias auth_basic auth_digest authn_dbd authn_default authn_file authz_default authz_groupfile authz_host authz_user autoindex dav dav_fs dav_lock dbd deflate dir env expires headers include info log_config logio mime mime_magic negotiation proxy proxy_balancer proxy_connect proxy_http rewrite setenvif status unique_id userdir -asis -authn_alias -authn_anon -authn_dbm -authz_dbm -authz_owner -cache -cern_meta -charset_lite -disk_cache -dumpio -ext_filter -file_cache -filter* -ident -imagemap -log_forensic -mem_cache -proxy_ajp -proxy_ftp -speling -substitute -usertrack* -version -vhost_alias" APACHE2_MPMS="prefork -event -itk -peruser -worker" 5,088 kB
[ebuild R ] net-misc/neon-0.29.0 USE="expat nls ssl zlib -doc -gnutls -kerberos -libproxy -pkcs11" LINGUAS="-cs -de -fr -ja -nn -pl -ru -tr -zh_CN" 859 kB
[ebuild R ] dev-util/subversion-1.6.6 USE="apache2 bash-completion dso nls perl python ruby webdav-neon -berkdb -ctypes-python -debug -doc -emacs -extras -gnome-keyring -java -sasl -test -vim-syntax -webdav-serf" 5,384 kB
这发生SSLProtocol的任意组合与TLSv1包含
如果我调整SSLProtocol为remove TLSv1,则会收到新错误:
svn: PUT of '/!svn/wrk/0b9f5a96-15aa-11df-ad6a-0f71b873281b/project/trunk/path/btn_Cancel.gif': SSL handshake failed: SSL error: bad decompression (https://svn.mudbugmedia.com)
这大约与我遇到“ parse tlsext”错误的同时发生。