Questa non è la fine della connessione , è solo un ACK. TLS opera su TCP (e IP) e i record TLS inviati come dati TCP vengono riconosciuti come i dati su altre connessioni TCP; in alcuni casi questo riconoscimento piggyback su dati TCP nella direzione opposta e in alcuni casi è un pacchetto che trasporta solo ACK e nessun dato. Nel solo caso ACK, wireshark le etichetta TCP e non il protocollo a livello di app (qui TLS) perché non ci sono dati a livello di app (qui TLS).
Il modo in cui una connessione TLS viene chiusa normalmente è inviando un record di avviso di tipo close_notify
in almeno una direzione, seguito da una normale chiusura TCP che invia e ACK FIN in entrambe le direzioni utilizzando un numero variabile e una sequenza di pacchetti in base allo stato dinamico e ai tempi; vedere qualsiasi riferimento su TCP. Una connessione TLS può anche essere chiusa seminormicamente semplicemente facendo chiudere TCP senza l'avviso, o in modo anomalo interrompendo il protocollo TCP con (almeno uno) RST.
Tutti gli avvisi dopo il completamento dell'handshake sono crittografati, quindi wireshark decodifica solo come avviso crittografato (a meno che non si abiliti wireshark per decrittografarlo assegnando la chiave privata del server per una connessione di scambio di chiavi RSA non PFS, o la chiave di sessione per il sessione specifica). In linea di principio sono possibili diversi avvisi, ma in pratica se vedi un avviso dopo il normale scambio di dati è estremamente probabile che sia close_notify.