ID de sesión SSL en reanudación basada en ticket TLS

Question

ID de sesión SSL en reanudación basada en ticket TLS

#1 de StackzOfZtuff (2 votos)

3

Tenemos un servidor que admite la reanudación de sesiones sin estado basadas en tickets TLS. Sin embargo, cuando me conecto al servidor con openssl s_client, todavía veo que se genera un ID de sesión junto con el ticket TLS. ¿Cuál es el significado de este ID de sesión y se puede utilizar para reanudar la sesión?

tls session-management

pregunta Rahul 30.10.2015 - 22:57

fuente

1 respuesta

Lea otras preguntas en las etiquetas tls session-management

Servicio central de autenticación que redirige al subdominio, usando la firma digital como token de autenticación Automatizar la firma de certificados en Linux

score 2 · Answer 1

¿Cuál es el significado de este ID de sesión y puede usarse para reanudar la sesión?

Siempre obtienes una identificación.

Puede establecer más de una sesión con un servidor. La identificación los distingue. Es básicamente un índice en una tabla donde el servidor encontrará todas las claves necesarias, etc. para esa sesion

El cliente puede TRATAR la reanudación de la sesión al proporcionar la ID antigua durante el protocolo de enlace. Pero el servidor solo puede ignorar ese intento y emitir una nueva ID en su lugar. Que es justo lo que sucede cuando ese ID particular ha caducado de la tabla de ID del servidor (caché de sesión). No le cuesta al cliente nada extra para intentar reanudar.

Lectura adicional

Sección "Reanudación de sesión TLS" aquí: enlace
Pregunta relacionada aquí

Actualización 1. ID vacías

Realmente no entiendo esto. Tal vez algún usuario SE pueda ampliar esto.

No entiendo realmente la interacción cuando tanto los ID como los Tickets están habilitados. Así que decidí leer esa sección en mi copia de " Bulletproof SSL and TLS ": < br> (la cita es del Capítulo 2. Protocolo | Extensiones | Entradas de sesión )

Nota
Cuando un servidor decide utilizar los tickets de sesión para reanudar la sesión, envía un campo de ID de sesión vacío (en su mensaje ServerHello ). En este punto, la sesión no tiene un identificador único. Sin embargo, la especificación del ticket permite al cliente seleccionar y enviar un ID de sesión (en su ClientHello ) en un saludo posterior que usa el ticket. Un servidor que acepta el ticket también debe responder con el mismo ID de sesión. Esta es la razón por la que el ID de sesión aparece en los registros del servidor web TLS incluso cuando los tickets de sesión se utilizan como mecanismo de reanudación de sesión.

Y después de leer esto, ahora ya no estoy tan seguro de entender el concepto de ID de sesión.

De todas formas, la sección relevante del RFC del ticket de la sesión es 3.4. Interacción con el ID de sesión TLS .

Y este parece para decir que los ID de sesión no existen o no importan cuando los boletos están en uso. No sé.