Este no es el final de la conexión , es solo un ACK. TLS funciona a través de TCP (e IP), y los registros TLS enviados como datos TCP se reconocen como los datos en otras conexiones TCP; en algunos casos, este reconocimiento se complementa con los datos TCP en la otra dirección y, en algunos casos, es un paquete que solo contiene ACK y no datos. En el caso de solo ACK, wirehark lo etiqueta como TCP y no como el protocolo de nivel de aplicación (aquí TLS) porque no hay datos de nivel de aplicación (aquí TLS).
La forma en que normalmente se cierra una conexión TLS es enviando un registro de alerta de tipo close_notify
en al menos una dirección, seguido de un cierre TCP normal que envía y ACK FIN en ambas direcciones usando un número variable y secuencia de paquetes dependiendo del estado dinámico y la temporización; ver cualquier referencia en TCP. Una conexión TLS también puede cerrarse seminormalmente simplemente cerrando el TCP sin la alerta, o anormalmente abortando el TCP con (al menos una) RST.
Todas las alertas después de que se complete el protocolo de enlace están encriptadas, por lo que wirehark solo se decodifica como Alerta encriptada (a menos que usted habilite la función de desencriptación de Wirehark, dándole la clave privada del servidor para una conexión de intercambio de claves RSA que no sea PFS, o la clave de sesión para sesión específica). En principio, son posibles varias alertas, pero en la práctica, si ve una alerta después del intercambio normal de datos, es muy probable que se haga un close_notify.