¿Hay alguna otra diferencia, excepto la caché de sesión?
¿Solo la reanudación de sesión basada en el ID de sesión actualizará la clave de sesión TLS simétrica?
¿Hay alguna otra diferencia, excepto la caché de sesión?
¿Solo la reanudación de sesión basada en el ID de sesión actualizará la clave de sesión TLS simétrica?
Actualización: Advertencia: mi comprensión de esto es aburrida. Ver el comentario de Dave Thompson.
——————————————
¿Solo la reanudación de sesión basada en el ID de sesión actualizará la clave de sesión TLS simétrica?
Ningún método hará eso.
Para citar a Adam Langley: (saltos de línea míos)
TLS ofrece dos mecanismos de reanudación de sesión: los ID de sesión (donde el servidor y el cliente almacenan su propio estado secreto) y los tickets de sesión (donde el cliente almacena el estado del servidor, cifrado por el servidor).
Si un atacante puede obtener la información de reanudación de sesión para una conexión, entonces puede descifrar la conexión.
(Esto no tiene por qué ser completamente cierto, pero es para TLS debido a la forma en que está diseñado TLS.)
Fuente: Cómo estallar el secreto hacia adelante de TLS (27 de junio de 2013) (Archivado aquí .)