我的一个供应商今天使用 TLS SessionID(由浏览器发送)来确定将流量引导到哪个主机,从而导致了中断。
由于 SessionID 可能泄露隐私详细信息,并且越来越多的浏览器似乎正在更快地更改 SessionID,那么是否可以说使用 HTTPS 负载均衡器的人都不应该使用 TLS sessionID?
答案1
嗯 - 是吗?SSL sessionid 可用作可选的性能增强器 - 即不要通过每次大致访问相同的服务器来重新协商密钥....有时我们会在源 IP 全部来自一个代理时使用它...但如果应用程序依赖于它始终正确,则永远不应将其用于会话持久性。您需要使用 SSL 终止 + cookie 或只是可靠的旧源 IP。