我使用Caddy(使用GO编写的Web服务器),允许使用TLS 1.0-TLS 1.2,并且GO仅支持会话恢复的票证选项(TLS会话数据存储在客户端)。
现在,我不太确定何时应该恢复TLS。不管票证的有效期(我认为默认情况下是一周)和会话票证加密密钥(每10小时轮换一次,而Caddy会“记住”最近的4个)-所以这些都不应该成为问题。
据我所知,只要票证仍然有效且浏览器尚未重新启动,就应该恢复会话,这意味着即使我更改了IP地址,TLS票证也仍然可以工作。但是对我来说不是这样。当我访问网络服务器(同时使用Chrome和Firefox)时,会获得TLS票证,该票证在对该服务器的整个浏览过程中仍然有效,但是当我更改IP地址(通过代理或更改WIFI)时,该票证在服务器上不被接受一边并进行了完整的TLS握手,然后在其中获得了新票证。
所以,我的主要问题:TLS会话恢复仅在TCP会话中起作用,并且每当启动新的TCP会话时,以前的TLS票证就无效了吗?
... TLS会话恢复仅在TCP会话中起作用吗?>
鉴于TCP连接中几乎总是只有一个TLS握手,这没有多大意义。
使用票证恢复会话,只要客户端发送了会话票证,并且服务器具有必要的机密即可从票证中提取信息,则恢复工作。服务器可能会实施其他限制,例如在票证中编码客户端IP并检查其是否仍然相同。