݀ໃ܋                          থ๭܋



















                                                                           ᆌᆩຕ਍






                 图 4-3：简短 TLS 握手协议


                 由于服务器必须为每个客户端都创建和维护一段会话缓存，“会话标识符”机制在实
                 践中也会遇到问题，特别是对那些每天都要“接待”几万甚至几百万独立连接的服
                 务器来说，问题就更多了。由于每个打开的 TLS 连接都要占用内存，因此需要一套
                 会话 ID 缓存和清除策略，对于拥有很多服务器而且为获得最佳性能必须使用共享
                 TLS 会话缓存的热门站点而言，部署这些策略绝非易事。

                 当然，这些问题并非无解，今天的很多高流量站点都在成功地使用会话标识符。只
                 不过对于多服务器部署来说，为确保会话缓存的良性循环，必须对会话标识符进行
                 周密的规划和系统的设计。


                 4.3.2 会话记录单

                 为了解决上述服务器端部署 TLS 会话缓存的问题，“会话记录单”（Session  Ticket，
                 RFC  5077）机制出台了，该机制不用服务器保存每个客户端的会话状态。相反，如
                 果客户端表明其支持会话记录单，则服务器可以在完整 TLS 握手的最后一次交换中
                 添加一条“新会话记录单”（New  Session  Ticket）记录，包含只有服务器知道的安
                 全密钥加密过的所有会话数据。


                 然后，客户端将这个会话记录单保存起来，在后续会话的 ClientHello 消息中，可


                                                                     传输层安全（TLS）   ｜   49