我的一个供应商今天通过使用TLS SessionID(由浏览器发送)来确定哪个主机将stream量导向,从而导致了中断。
由于SessionID可能会泄露隐私细节,而且越来越多的浏览器似乎正在更快地更改SessionID,所以说使用HTTPS负载平衡器的人不应该使用TLS sessionID?
恩 – 是吗? SSL sessionid可以作为一个可选的性能增强器 – 也就是说,不要每次点击大致相同的服务器来重新协商密钥。有时我们使用它,如果源IP全部来自一个代理…但它永远不会用于会话持久性,如果应用程序依赖于它总是正确的。 你需要使用SSL终止+cookies或只是老的可靠的源IP。