¿Puede el servidor SSL en respuesta a la solicitud 'CLIENT_HELLO' elegir un valor NULL para el ID de sesión en su respuesta, SERVER_HELLO? ¿Está bien?
De RFC 5246 , sección 7.4.1.3:
El servidor puede devolver un session_id vacío para indicar que la sesión no se almacena en caché y, por lo tanto, no se puede reanudar.
Entonces, sí, el servidor puede devolver un ID de sesión de longitud 0. Esto está permitido. Tenga en cuenta que el servidor también puede enviar un montón de bytes aleatorios y simplemente rehusarse a reanudar cualquier sesión; el efecto general sería idéntico.
Lea otras preguntas en las etiquetas tls