class OpenSSL::SSL::Session

要約

SSL/TLS セッションを表すクラスです。

セッションとは、SSL/TLS のハンドシェイクで確立される仮想的なオブジェクトであり、安全な通信路を実現するために必要な、クライアント側とサーバ側で共有される情報の集合体です。SSL/TLS ハンドシェイクで必要な計算(特に署名の検証) はかなり高コストであり、以前にそのような計算を済ませたという事実を利用してハンドシェイクの高速化を図ることができます。これがセッションの再利用です。

より具体的には、以下のような手順で再利用が行われます。

• まずは普通にクライアントとサーバでハンドシェイクを行う
• クライアントとサーバの両側でハンドシェイクによって共有された 情報をキャッシュしておく
• 再びクライアントから SSL/TLS のハンドシェイク開始を要求する このときにクライアントはキャッシュしておいた セッションのセッション ID を渡す
• サーバ側は渡されたセッション ID に対応するセッションキャッシュ を自身が保持しているキャッシュ領域から探しだす
• 以降のハンドシェイクは双方でキャッシュされた情報を利用して鍵合意 などを行い、コネクションを確立する

セッションキャッシュが利用されるかどうかはハンドシェークで決まった SSL/TLS 暗号スイートに依存します。

クライアント側のセッションキャッシュ

クライアント側では OpenSSL はキャッシュの保持、管理のための機能を提供していません。コネクション確立後に OpenSSL::SSL::SSLSocket#session でセッションを取り出し、次の OpenSSL::SSL::SSLSocket#connect によるハンドシェイク前に OpenSSL::SSL::SSLSocket#session= で再利用するセッションを設定してやることでセッションを再利用します。

サーバ側のセッションキャッシュ

サーバ側では OpenSSL::SSL::SSLContext によりセッションキャッシュの保持および管理が行われます。

OpenSSL::SSL::SSLContext#session_cache_mode= でキャッシュの挙動を設定します。デフォルトで OpenSSL::SSL::SSLContext::SESSION_CACHE_SERVER フラグが立っているため、サーバ側のセッションキャッシュ機構はデフォルトで有効になっています。

セッションキャッシュ機構が有効化されている場合、 SSL/TLS ハンドシェイク終了時に OpenSSL::SSL::SSLContext 内のキャッシュ保持領域にキャッシュが保持されます。クライアント側からセッション再利用要求に対してはキャッシュ保持領域の探索および外部キャッシュへの問合せを行い、再利用するセッションを特定します。キャッシュ保持領域の探索はライブラリが自動的にしますが、外部キャッシュの探索はアプリケーションプログラマによって実装する必要があります (OpenSSL::SSL::SSLContext#session_get_cb= で設定したコールバックで対応するセッションを返します)。

これらの挙動は OpenSSL::SSL::SSLContext::SESSION_CACHE_NO_INTERNAL_STORE や OpenSSL::SSL::SSLContext::SESSION_CACHE_NO_INTERNAL_LOOKUP を OpenSSL::SSL::SSLContext#session_cache_mode=に渡すことで変更できます。

目次

特異メソッド

• new

インスタンスメソッド

• ==
• id
• time
• time=
• timeout
• timeout=
• to_der
• to_pem
• to_text

特異メソッド

new(obj) -> OpenSSL::SSL::Session[permalink][rdoc]

新しいセッションオブジェクトを生成します。

引数に OpenSSL::SSL::SSLSocket が渡された場合は、それに結び付けられたセッションを表すオブジェクトを返します。 OpenSSL::SSL::SSLSocket#session と同じ動作をします。

引数が文字列の場合、 PEM 形式もしくは DER 形式で保存されたセッションデータであるとみなし、セッションオブジェクトを生成します。引数が IO オブジェクトである場合は、データを読みだし PEM 形式もしくは DER 形式とみなしてセッションオブジェクトを生成します。

[PARAM] obj:

セッションオブジェクトの生成元オブジェクト

[EXCEPTION] OpenSSL::SSL::Session::SessionError:

オブジェクトの生成に失敗した場合に発生します

インスタンスメソッド

self == ohter -> bool[permalink][rdoc]

otherと自身が同一のセッションであれば真を返します。

id -> String[permalink][rdoc]

セッション ID を返します。

SSL/TLS はこのセッション ID でセッションを識別します。

time -> Time[permalink][rdoc]

セッションが確立された時刻を返します。

[SEE_ALSO] OpenSSL::SSL::Session#time=, OpenSSL::SSL::Session#timeout

time=(t)[permalink][rdoc]

セッション確立時刻を Time オブジェクトで更新します。

これによってタイムアウト時刻が変更されます。

[PARAM] t:

更新する時刻

[SEE_ALSO] OpenSSL::SSL::Session#time, OpenSSL::SSL::Session#timeout

timeout -> Integer[permalink][rdoc]

セッションタイムアウトの時間(秒数)を整数で返します。

デフォルト値は OpenSSL::SSL::SSLContext#timeout= で設定されます。

[SEE_ALSO] OpenSSL::SSL::Session#time, OpenSSL::SSL::Session#timeout=

timeout=(t)[permalink][rdoc]

セッションタイムアウトの時間(秒数)を整数で設定します。

これによってタイムアウト時刻が変更されます。

[PARAM] t:

タイムアウト時間

[SEE_ALSO] OpenSSL::SSL::Session#time, OpenSSL::SSL::Session#timeout

to_der -> String[permalink][rdoc]

自身を DER 形式に変換します。

これによってセッションキャッシュをディスク上に保持することができます。

[EXCEPTION] OpenSSL::SSL::Session::SessionError:

変換に失敗した場合に発生します

to_pem -> String[permalink][rdoc]

自身を PEM 形式に変換します。

これによってセッションキャッシュをディスク上に保持することができます。

[EXCEPTION] OpenSSL::SSL::Session::SessionError:

変換に失敗した場合に発生します

to_text -> String[permalink][rdoc]

自身を可読な形式に変換します。

[EXCEPTION] OpenSSL::SSL::Session::SessionError:

変換に失敗した場合に発生します

フィードバックはこちら