SSL újraegyeztetés szolgáltatás megtagadás (DoS)

Egy SSL/TLS kapcsolat felépítése általában 10x több erőforrást igényel a szerveren, mint a kliens gépen, de ez csak a biztonságos kapcsolat kiépítésének elején szükséges. Amikor a SSL/TLS újraegyeztetés (Renegotiation) engedélyezve van a szerveren, a felhasználónak lehetősége van újraegyeztető kérés küldésére, ami egy új kapcsolatépítést eredményez. Mivel ez a kliensgépen nagyságrendekkel kevesebb erőforrást igényel, így  az újraegyeztetés másodpercenkénti többszörös kérésével szolgáltatás megtagadás (DoS) okozható a szerver oldalon az SSL/TSL interfészben, mivel a szerver erőforrásai kimerülnek és az nem tud más felhasználókkal kapcsolatot kiépíteni.

Ez a támadási forma különbözik a elosztott szolgáltatás megtagadásos (DDoS) támadásoktól, mivel célpont hálózat leterhelése nem igényli kiemelkedően nagy erőforrás jelenlétét vagy botnet hálózatok segítségét. Míg egy átlagos szerver 150-300 kapcsolatépítést tud végrehajtani egy másodperc alatt, addig ezzel egy időben egy kliens gép akár 1000 ilyen kérést is küldhet.

http://permalink.gmane.org/gmane.ietf.tls/8335
http://www.thc.org/thc-ssl-dos/