Quindi esiste questo metodo di ripresa della sessione TLS che utilizza i ticket di sessione che trasferisce lo stato segreto del server TLS al client (crittografato e autenticato con una chiave nota solo al server)
Se un cliente desidera riprendere una sessione, include semplicemente il ticket di sessione nella richiesta, che consente al server di riprendere la sessione.
Domande:
- Cosa succede se la chiave di sessione (server) viene rubata?
- Che cosa può fare un utente malintenzionato se registra ALL pacchetti tra il server e vari client? Sarà in grado di decodificare tutto?
Il ticket di sessione include master_secret
(che viene utilizzato per la crittografia simmetrica come AES?) ( RFC 5077, pagina 11 ).
- In che modo esattamente questo
master_secret
viene riutilizzato dopo la ripresa della sessione? Server e client continueranno a riutilizzare questomaster_secret
per tutti i crypto simmetrici (ad esempio AES)?