最初のClient HelloにセッションIDが含まれているのは正常ですか、それからサーバーはそれを取得して同じセッションIDを受け入れ、それを以降のすべてのTLSトラフィックで使用します。つまり、「クライアントまたはブラウザ」は使用するセッションIDを示し、「サーバー」はそれを受け入れます。これは私のウェブサイトでの行動です。
なぜそうなのですか?
正常ですか?
セキュリティ上のリスクはありますか?
最初のクライアントのセッションIDこんにちは、..。つまり、「クライアントまたはブラウザ」は、使用するセッションIDを示し、「サーバー」はそれを受け入れます。
クライアントが新しいセッションIDを思いついて、サーバーがそれを受け入れるということではありません。 TLSセッションIDと、同様の目的で機能するTLSセッションチケットは、最初にサーバーからクライアントに送信されます。
後でクライアントが以前に受信したセッションIDまたはセッションチケットを新しいTLSハンドシェイク内で送信し、サーバーがまだこの既存のセッションの情報を持っているか、または取得できる場合、セッションを再開でき、省略されたハンドシェイクのみが実行されます。
代わりに、クライアントがサーバーが処理できないセッションIDまたはセッションチケットを送信した場合(つまり、無効、期限切れ...)、サーバーによって無視され、完全なTLSハンドシェイクが行われます。