Voglio sapere se un server HTTP (Apache, nginx ecc.) può accedere a un ID sessione SSL / TLS. Supponiamo di avere un hardware che fa solo SSL / TLS e dietro un server web che invia e riceve le richieste. Il server web può "vedere" l'ID della sessione SSL. In caso contrario, come viene gestita la connessione tra le richieste HTTP e la sessione SSL?
Se l'identificatore di sessione SSL è reso accessibile, dal tuo hardware SSL, al resto del server, dipende interamente dall'interfaccia che questo hardware offre.
Una scatola di hardware SSL decente dovrebbe offrire un qualche tipo di gestione delle sessioni, in modo che il consumatore (il tuo Apache / nginx / qualunque server dietro la scatola) possa sapere se le connessioni successive provengono dallo stesso client ( cioè il cliente si è riconnesso, si è offerto di fare una "stretta di mano abbreviata" e la casella è stata accettata perché ricorda ancora i parametri della sessione SSL). In che modo questa gestione della sessione è offerta fino alla scatola; può o non può usare gli stessi "identificatori di sessione" come quello scambiato nell'handshake SSL (nei messaggi ClientHello e ServerHello ). Dovrai utilizzare la documentazione per quella casella.
Se l'hardware non offre alcuna gestione delle sessioni di alcun tipo, allora è spazzatura e dovresti cambiare fornitore.
Leggi altre domande sui tag webserver tls session-management