apache - TLS1.3 session 的 SSLSessionID 等效项是什么

Question

在 TLSv1.2 中，客户端能够使用 SSLSessionID 恢复。此 ID 在多个恢复的 session 中保持不变。

在我修改过的 apache 网络服务器中，我有一个逻辑，可以根据 SSLSessionID 检查 session cookie。如果 SSLSessionID 更改为相同的 cookie，我会放弃该请求。

现在我如何在 TLSv1.3 中实现这一点。 ( session 的恢复不是问题，这是可行的。)

问题是，SSLSessionID 变化对于每个请求，也在 恢复 session 。

显然我的机制不再起作用，所以我需要一个在恢复的 session 中保持不变的标识符。

Answer 1

TL;DR:没有严格的等价物，因为该功能已被删除。但是为了类似的需求引入了新的 session 票。
RFC 8446在 TLS 1.3 上说:

2.2. Resumption and Pre-Shared Key (PSK)

[..]

In TLS 1.2 and below, this functionality was provided by "session IDs"and "session tickets" [RFC5077]. Both mechanisms are obsoleted in TLS1.3.

第 4.1.2 节关于 ClientHello还描述了这个扩展:

legacy_session_id:

Versions of TLS before TLS 1.3 supported a"session resumption" feature which has been merged with pre-sharedkeys in this version (see Section 2.2). A client which has acached session ID set by a pre-TLS 1.3 server SHOULD set thisfield to that value. In compatibility mode (see Appendix D.4),this field MUST be non-empty, so a client not offering apre-TLS 1.3 session MUST generate a new 32-byte value. This valueneed not be random but SHOULD be unpredictable to avoidimplementations fixating on a specific value (also known asossification). Otherwise, it MUST be set as a zero-length vector(i.e., a zero-valued single byte length field).

您能找到的最接近的是新的“ session 票”，请参阅 §4.6.1
但是，如果您转到 https://ssl-config.mozilla.org/ 之类的东西您将看到所有配置都在禁用 session 票证的情况下完成。
你可以看看 https://timtaubert.de/blog/2017/02/the-future-of-session-resumption/解释 1.2 和 1.3 之间的变化