Один из моих поставщиков вызвал сегодня сбой, используя TLS SessionID (отправленный браузером) как способ определить, на какой хост направлять трафик.
Поскольку SessionID может давать утечку информации о конфиденциальности, и кажется, что все больше браузеров меняют SessionID быстрее, справедливо ли сказать, что никто, использующий балансировщики нагрузки HTTPS, не должен использовать TLS sessionID?
Гм - Да? SSL sessionid можно использовать в качестве дополнительного средства повышения производительности - т.е. не согласовывать ключи повторно, каждый раз обращаясь к примерно одному и тому же серверу .... Иногда мы используем его, если исходный IP-адрес исходит от одного прокси ... НО это никогда не должно происходить. использоваться для сохранения сеанса, если приложение всегда корректно. Вам нужно использовать SSL-терминатор + куки или просто старый добрый надежный исходный IP.