
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:-webkit-standard;

        panose-1:0 0 0 0 0 0 0 0 0 0;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman",serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri",sans-serif;

        color:windowtext;

        font-weight:normal;

        font-style:normal;

        text-decoration:none none;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">I suppose one could abuse SSL_set_msg_callback() to create a filter that rewrites the initial re-handshake message into something innocuous.  Though I doubt that would work,

 once the client starts a handshake, it expects a response from the server, and may well time out and close if it does not get one.  The way TLS works, it is always the client starting a renegotiation.  The server can send a message asking the client to renegotiate,

 but the client can ignore that. I don’t believe the opposite is true.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> openssl-users [mailto:openssl-users-bounces@openssl.org]

<b>On Behalf Of </b>Sashank Mullapudi (samullap)<br>

<b>Sent:</b> Monday, November 28, 2016 10:56 PM<br>

<b>To:</b> openssl-users@openssl.org<br>

<b>Cc:</b> Ram Mohan R (rmohanr) <rmohanr@cisco.com>; Nikhil Mittal (nimittal) <nimittal@cisco.com>; Anil Kumar (anilkum) <anilkum@cisco.com><br>

<b>Subject:</b> Re: [openssl-users] Disabling Client-Initiated TLS renegotiation<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">Resending this hoping for a response from someone who has information on disabling TLS renegotiation from the Client side.<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">Thanks,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">Sashank<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

</div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">From:

</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:black">samullap <<a href="mailto:samullap@cisco.com">samullap@cisco.com</a>><br>

<b>Date: </b>Tuesday, 22 November 2016 at 12:21 PM<br>

<b>To: </b>"<a href="mailto:openssl-users@openssl.org">openssl-users@openssl.org</a>" <<a href="mailto:openssl-users@openssl.org">openssl-users@openssl.org</a>><br>

<b>Cc: </b>"Ram Mohan R (rmohanr)" <<a href="mailto:rmohanr@cisco.com">rmohanr@cisco.com</a>>, "Anil Kumar (anilkum)" <<a href="mailto:anilkum@cisco.com">anilkum@cisco.com</a>>, "Nikhil Mittal (nimittal)" <<a href="mailto:nimittal@cisco.com">nimittal@cisco.com</a>><br>

<b>Subject: </b>Disabling Client-Initiated TLS renegotiation<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<div>

<div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">Hi,</span><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">As part of securing our web interfaces, we wanted to disable client-initiated TLS renegotiation. </span><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:black">The reasoning for this requirement </span><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333;background:white">is as follows- </span><i><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333">Generally,

 renegotiation of TLS sessions is much more resource-intensive for the server than the client, and should therefore not be performed at will to avoid degrading performance. Disabling client from renegotiating secures the server from undergoing a DoS attack

 due to continuous renegotiation requests.</span></i><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333">I<span style="background:white"> see that there is an option </span></span><b><span style="font-size:10.0pt;font-family:"Calibri",sans-serif;color:black">SSL_OP_ALLOW_UNSAFE_LEGACY_RENEGOTIATION</span></b><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333;background:white">,

 but that is to secure the renegotiation, not disable it.</span><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333">I<span style="background:#FFFEFE"> wanted to check if there is a patch or flag available to disable any negotiation initiated from the client side.</span></span><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333;background:#FEFDFD">Thanks and Regards,</span><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:10.5pt;font-family:"Calibri",sans-serif;color:#333333;background:#FDFCFC">Sashank</span><span style="font-size:10.5pt;font-family:"-webkit-standard",serif;color:black"><o:p></o:p></span></p>

</div>

</div>

</div>

</div>

</div>

</div>

</body>

</html>