Il server HTTP ha accesso all'ID di sessione SSL?

3

Voglio sapere se un server HTTP (Apache, nginx ecc.) può accedere a un ID sessione SSL / TLS. Supponiamo di avere un hardware che fa solo SSL / TLS e dietro un server web che invia e riceve le richieste. Il server web può "vedere" l'ID della sessione SSL. In caso contrario, come viene gestita la connessione tra le richieste HTTP e la sessione SSL?

    
posta qbi 24.04.2013 - 14:40
fonte

2 risposte

2

Se l'identificatore di sessione SSL è reso accessibile, dal tuo hardware SSL, al resto del server, dipende interamente dall'interfaccia che questo hardware offre.

Una scatola di hardware SSL decente dovrebbe offrire un qualche tipo di gestione delle sessioni, in modo che il consumatore (il tuo Apache / nginx / qualunque server dietro la scatola) possa sapere se le connessioni successive provengono dallo stesso client ( cioè il cliente si è riconnesso, si è offerto di fare una "stretta di mano abbreviata" e la casella è stata accettata perché ricorda ancora i parametri della sessione SSL). In che modo questa gestione della sessione è offerta fino alla scatola; può o non può usare gli stessi "identificatori di sessione" come quello scambiato nell'handshake SSL (nei messaggi ClientHello e ServerHello ). Dovrai utilizzare la documentazione per quella casella.

Se l'hardware non offre alcuna gestione delle sessioni di alcun tipo, allora è spazzatura e dovresti cambiare fornitore.

    
risposta data 24.04.2013 - 15:00
fonte
1

nginx
ID sessione SSL disponibile in $ssl_session_id variabile.

Altre variabili NGiNX SSL possono essere trovate qui , sezione Variabili incorporate.

    
risposta data 25.05.2016 - 23:12
fonte

Leggi altre domande sui tag