comportement étrange de la variable SSL_SESSION_ID

Questions sur le développement PHP.

Modérateur : Modérateurs

agouzit
Nouveau membre
Messages : 1
Inscription : mer. 22 juil. 2009, 10:06

comportement étrange de la variable SSL_SESSION_ID

Messagepar agouzit » mer. 22 juil. 2009, 10:29

Bonjour,
Je suis actuellement en train de réaliser une application sécurisée sous Apache 2.2 avec les modules php5 et ssl.
Afin d'empêcher l'usurpation de session j'associe à chaque session une "emprunte": une personne voulant utiliser la session doit pouvoir présenter l'emprunte de la session telle qu'elle était à sa création.
Pour construire cette emprunte, faisant un site totalement en https, j'ai trouvé judicieux d'utiliser entre autres l'identifiant de session SSL_SESSION_ID. Et voilà où arrive mon problème : cette variable n'est pas toujours accessible, que ce soit par le biais du tableau $_SERVER, ou par la fonction getenv('SSL_SESSION_ID') après avoir renseigné la directive SSLOptions StdEnvVars.
Et quand je dis "pas toujours", ça me semble totalement aléatoire. Une seule constante : Au démarrage d'un nouveau navigateur, la première requête sur ma page ne trouvera jamais l'id renseigné. Pour l'avoir ça dépend, en général rafraichir la page plusieurs fois de suite ne change rien, tandis qu'attendre 1 minute suffit pour l'avoir. Au cours de la navigation elle peut disparaitre et réapparaitre, j'ai eu plusieurs fois la surprise de voir qu'en rafraichissant rapidement un certain nombre de fois l'id apparaissait précisément une fois sur deux (où il était toujours le même), et été introuvable l'autre fois...
Je dois préciser aussi que les autres variables SSL_* sont toujours bien renseignées et ne semblent pas changer.
Pouvez vous me renseigner sur le comportement de cette variable? Je n'ai pas réussi à trouver de renseignement sur ce comportement, bien que je continue à chercher une petite aide serait la bienvenue :)
Peut-être que je confond connexion SSL et session SSL ? Dans ce cas y-aurait-il moyen de forcer les connections à se faire via des sessions?
Merci d'avance de votre attention :)

Edit : orthographe + extrait de mon error.log :
[warn] RSA server certificate is a CA certificate (BasicConstraints: CA == TRUE !?)
Le problème pourrait-il venir de mon certificat qui serait incorrect?

Revenir vers « PHP »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité