强制客户端或服务器重新启动 SSL 握手(或使 SSL 会话过期)
Force client or server to restart SSL handshake (or expire SSL session)
我有一个客户端(用 Java 编写)连接到 HTTPS 服务器(也用 Java 编写的服务器)。
客户端证书和可信证书存储在 PKI 令牌中。
客户端不断向服务器发送一些 HTTP 请求。一切正常。现在我想强制客户端(或服务器)重新启动握手。换句话说,我想刷新导致定期检查服务器证书的 SSL 连接。有什么办法吗?例如,是否有任何设置可以定期执行此操作或证书中的任何扩展强制 server/client 重新启动握手?
我知道会话超时。但这不会刷新当前连接。它将强制只有新连接再次进行握手。
证书中没有任何东西可以用来实现你想要的。相反,这种行为需要在客户端或服务器上实现:服务器可以关闭当前连接并拒绝重用以前的会话,从而导致完全握手。类似地,客户端可以关闭现有连接而不重用再次导致完全握手的会话。
理论上,客户端或服务器也可以在现有 TCP 连接中触发新的握手。但端点通常会限制同一 TCP 连接中此类重新协商的数量,以防止 TLS 重新协商 DoS 攻击。
我有一个客户端(用 Java 编写)连接到 HTTPS 服务器(也用 Java 编写的服务器)。
客户端证书和可信证书存储在 PKI 令牌中。 客户端不断向服务器发送一些 HTTP 请求。一切正常。现在我想强制客户端(或服务器)重新启动握手。换句话说,我想刷新导致定期检查服务器证书的 SSL 连接。有什么办法吗?例如,是否有任何设置可以定期执行此操作或证书中的任何扩展强制 server/client 重新启动握手?
我知道会话超时。但这不会刷新当前连接。它将强制只有新连接再次进行握手。
证书中没有任何东西可以用来实现你想要的。相反,这种行为需要在客户端或服务器上实现:服务器可以关闭当前连接并拒绝重用以前的会话,从而导致完全握手。类似地,客户端可以关闭现有连接而不重用再次导致完全握手的会话。
理论上,客户端或服务器也可以在现有 TCP 连接中触发新的握手。但端点通常会限制同一 TCP 连接中此类重新协商的数量,以防止 TLS 重新协商 DoS 攻击。