Quiero saber si un servidor HTTP (Apache, nginx, etc.) puede acceder a un ID de sesión SSL / TLS. Supongamos que tenemos un hardware que solo hace SSL / TLS y detrás de un servidor web que envía y recibe las solicitudes. ¿Puede el servidor web "ver" el ID de sesión SSL? Si no, ¿cómo se maneja la conexión entre las solicitudes HTTP y la sesión SSL?
Si el hardware de SSL hace que el identificador de sesión SSL sea accesible para el resto del servidor, depende completamente de la interfaz que este hardware ofrezca.
Una caja de hardware SSL decente debería ofrecer algún tipo de administración de sesión, para que el consumidor (su servidor Apache / nginx / cualquier otro servidor que se encuentra detrás de la caja) pueda saber si las conexiones sucesivas son del mismo cliente ( es decir, el cliente se volvió a conectar, se ofreció a hacer un "apretón de manos abreviado" y la casilla se aceptó porque aún recuerda los parámetros de la sesión SSL). Cómo se ofrece esta gestión de sesión depende de la caja; puede o no puede usar los mismos "identificadores de sesión" que se intercambian en el protocolo SSL (en los mensajes ClientHello y ServerHello ). Tendrá que utilizar la documentación para ese cuadro.
Si el hardware no ofrece administración de sesión de ningún tipo, entonces es basura y usted debe cambiar de proveedor.
Lea otras preguntas en las etiquetas tls webserver session-management