#   Данный параметр устанавливает, что CGI-скриптам будут передаваться переменные SSL_SERVER_CERT (всегда),

#   SSL_CLIENT_CERT (если клиент послал свой сертификат), которые содержат сертификаты сервера и клиента

#   соответственно в формате pem.

#   StrictRequire:

#   Эта опция применяется совместно с опцией satisfy и обеспечивает запрет доступа клиента, если его

#   сертификат не соответствует RequireSSL

#   OptRenegotiate:

#   Данная опция применяется только в параметрах <Directory> и заставляет ssl заново инициализировать соединение

#   с клиентом

#SSLOptions +FakeBasicAuth +ExportCertData +CompatEnvVars

#+StrictRequire

# Переменные, устанавливаемые для некоторых браузеров. Вообще-то все браузеры должны получить перед завершением

# ssl-сеанса сообщение от сервера, что соответствует стандарту, но некоторые (особенно здесь красуется ослик) очень некорректно

# (мягко говоря) завершают работу с ssl, поэтому приходится устанавливать переменную ssl-unclean-shutdown, которая говорит о том,

# что при завершении соединения сервер не должен ни посылать сообщение, ни принимать подтверждение от браузера (что тоже может

# делаться некоторыми браузерами). Кроме этого, ослик ещё в случае ssl-соединения плохо работает с keepalive-сообщениями (вызывая разрыв

# ssl-соединения), поэтому приходится устанавливать ещё переменную nokeepalive. У осла также есть ещё пара недостатков: он не работает

# с адресом вроде https://192.168.1.1 и некоторые его версии не поддерживают работу с sslv3. А вообще при выборе алгоритмов шифрования –

# SSLCipherSuite – просмотрите список алгоритмов, поддерживаемых клиентским браузером и, исходя из этого, выбирайте нужное (+)

# и отсекайте ненужное (-).

SetEnvIf User-Agent ".*MSIE.*" nokeepalive ssl-unclean-shutdown

# Устанавливаем специальный лог, включаем определение протокола и алгоритма шифрования.

CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x "%r" %b"

# Перезапускаем апач, если ssl оказался невключенным.

RewriteEngine on