Блог

Это очень общий вопрос, и я надеюсь, что смогу ответить правильно.

Я изучаю повторные переговоры SSL / TLS и немного прочитал об этом. Вот что я понял из своего чтения:

Клиенты сгруппированы в две основные группы с точки зрения повторных согласований SSL / TLS, исправленные и не исправленные. Это относится к тому, уязвимы ли они для атаки «Человек посередине» (CVE-2009-3555?) или нет.

Повторное согласование, выполненное с исправленным клиентом, называется «Безопасным повторным согласованием», в то время как повторное согласование, выполненное с не исправленным клиентом, называется «Небезопасным повторным согласованием».

В статьях, которые я прочитал, в качестве примера использовался веб-магазин, в котором пользователь просматривает магазин без входа в систему. Когда пользователь решает войти в систему, его / ее клиент может использовать повторное согласование для входа в систему и сэкономить некоторое время / ресурсы.

Из этого примера я не понимаю, почему браузеру придется заново устанавливать сеанс SSL / TLS, когда он уже подключен к сайту? Если вход в систему не выполнен через другой домен, в этом случае я бы предположил, что это будет совершенно новый сеанс, поскольку клиент не может предположить, что тот же веб-сервер будет обрабатывать этот домен.

Большинство ресурсов очень расплывчаты, и я хотел бы понять с практической точки зрения:

• В каком сценарии они используются?
• В чем выгода?
• Как поведет себя клиент в случае сбоя или отклонения?

Любые ответы / теории / предложения будут оценены.

/Patrik

Они используются, когда любая из сторон хочет изменить протокол или набор шифров, или если сервер теперь хочет запросить сертификат клиента, но не делал этого раньше.