È normale avere l'ID sessione nel primo client Hello, quindi il server lo preleva e accetta lo stesso ID sessione e lo utilizza in tutto il traffico TLS. Questo è il "Client o Browser" che indica quale ID sessione utilizzare e "Server" lo accetta. Questo è un comportamento con i miei siti web.
Perché lo fa?
È normale?
Ha dei rischi per la sicurezza?
Session ID in the first Client Hello, .... That is the "Client or Browser" tells what Session ID to use and "Server" accepts it.
Non è che il client abbia appena creato un nuovo ID di sessione e il server lo accetti. L'ID di sessione TLS e anche il ticket di sessione TLS che ha uno scopo simile sono inviati per la prima volta dal server al client.
Se in seguito il client invia l'ID di sessione o il ticket di sessione ricevuti in precedenza in un nuovo handshake TLS e il server ha ancora o può derivare le informazioni per questa sessione esistente, la sessione può essere ripresa e verrà eseguita solo una stretta di mano abbreviata .
Se invece i client inviano un id di sessione o un ticket di sessione che il server non può gestire (cioè non valido, scaduto ...), verrà ignorato dal server e verrà eseguito un handshake TLS completo.
Leggi altre domande sui tag client-side tls ssl-interception