Dopo l'handshake TLS sia il server che il client hanno concordato circa session key
da utilizzare come chiave simmetrica. Quindi il server deve memorizzare diversi session keys
che appartengono a un cliente specifico.
In che modo il server determina una richiesta ricevuta che session key
deve essere utilizzata (cioè session key
di quale client)? (È vero: il client aggiunge il session id
in ogni richiesta (da qualche parte come header?) E il server ha una mappa tra session id
e session key
.)
Per quanto tempo un server utilizza session key
? È una cattiva pratica usare una chiave di sessione per molto tempo? Perché cambiano session key
mentre vengono trasferiti in modo sicuro (cioè crittografato con chiave pubblica)?