SSL加速器如何工作,尤其是TLS会话ID?

有一种理论认为,TLS会话ID可能会减轻 BEAST攻击,IETF的一个评论提到SSL加速器可能会改变这个ID。

有人可以向我解释(或告诉我该去哪里)了解SSL加速器可以对TLS会话执行哪些与常规会话不同的操作?

“SSL加速器”的概念也适用于支持生成非对称密钥对和/或对称encryption/解密操作的encryption加速卡 。 在这种情况下,加速完全由algorithm辅助组成,不涉及协议细节(特别是没有TLS会话ID)。

至于问题的其他部分,BEAST攻击肯定不会被使用会话ID而不是cookie所阻止。 尽pipe如果Cookie被绑定到会话ID,那么cookie不会被盗用,但攻击本身仍然可用于嗅探其他连接数据。 对付BEAST攻击的唯一方法是放弃TLS 1.0并仅使用更新版本的协议 – 或者对于TLS 1.0使用CBC(一种特殊的分组密码编码)禁用所有分组密码 – 这意味着禁用所有的块密码,并将RC4(这是一个stream密码,因此不需要使用以前的编码)作为唯一可用的密码。

SSL加速器通常是这样工作的:

客户端<-SSL->加速器<-HTTP->服务器

这意味着服务器不必处理SSL的开销。 但是这也意味着SSL会话的细节对服务器是不可见的。 理论上,加速器可以为包含HTTP会话唯一标识符的HTTP请求添加一个头部,但是我不知道有任何加速器实际执行此操作。