客户端和服务器之间的 SSL 连接持续多长时间？

Question

我刚开始学习 SSL，孩子是不是很困惑

Q1 - 客户端和服务器之间的 SSL 连接会持续多长时间？直到客户浏览到其他 URL 或……？

第二季度

A) 假设客户端（浏览器）与 IIS 服务器建立 SSL 连接。

现在 IIS 如何在每次回发时确定它正在处理相同的经过身份验证的客户端/浏览器，因此它已经与该客户端建立了 SSL 连接？

B) 假设浏览器访问其他 URL 时 SSL 连接不会丢失：

假设在 SSL 连接建立后不久，客户端浏览到其他 URL，并在此之后不久再次请求（通过 https）原始页面（与它建立 SSL 连接的页面）。

IIS 服务器如何确定当前对页面的请求来自已与该页面建立 SSL 连接并因此将使用已建立的 SSL 连接的客户端？

感谢

编辑：

• 假设浏览器浏览到其他 URL，如果返回原始页面时 SSL 连接仍然建立，浏览器将如何“记住”双方用于通信的对称加密密钥的值？

• 我意识到这取决于您使用的浏览器，但是对于 IE 和 Firefox，我假设当您关闭浏览器时，它会向服务器发送 Connection.Close()（或类似的东西），因此 SSL 连接会立即关门了吗？

• 但是，如果您浏览到其他 URL，那么如果浏览器不向服务器发送任何通知，那么 SSL 连接不会在相当长的一段时间内（甚至 10 分钟或更长时间）保持建立，因此浏览器可以轻松像什么都没发生一样回到那个页面？！

我很感激

Answer 1

编辑后的答案：

我认为您可能缺少的是 SSL 本质上链接到 TCP。您不能与不在 TCP 连接之上的服务器建立 SSL“连接”。你打破一个，你打破另一个。

大多数 SSL 实施都包含“快捷方式”协商，其中后续的新连接可以利用已经发生的公钥加密，而是直接使用最近协商的对称密钥。然而，这方面的细节隐藏在 SSL 实现中。从用户和/或客户端软件的角度来看，整个协商过程就像在第一次连接时一样进行。

1. 如果 SSL 连接仍然建立，那么对称密钥信息仍然保持在两端。

2. 是的。

3. 是的，尽管客户端一旦导航到其他站点就不可能保持与服务器的连接。

Answer 2

A1。 SSL 连接将持续存在，直到客户端或服务器将其关闭。何时发生取决于所使用的协议。对于 HTTP，大多数现代客户端将与服务器建立一些并行连接以获取页面及其资源，并重用这些连接直到页面加载。

A2A。如果身份验证使用 HTTP 身份验证，则客户端必须在每个请求上对自己进行身份验证。如果客户端使用 SSL 证书授权，那么这显然是在每个连接的基础上维护的，以便同一连接上的后续请求保留相同的凭据。

A2B。服务器会知道这一点，因为可能请求会通过已经建立的 SSL 连接进入。

Answer 3

第一季度。 SSL 连接仅适用于客户端和服务器之间的单个 TCP 连接。当前的浏览器（任何支持 HTTP/1.1 的浏览器）可以重用单个连接来下载多个资源。当前的浏览器还与服务器建立多个 TCP 连接，以便并行下载多个资源。因此，您会在一个页面视图中看到多个 SSL 连接。

Q2A。如果浏览器仍然与该服务器打开 TCP 连接，它可以重用该连接。否则，将协商一个带有 SSL 和 IIS 身份验证的新 TCP 连接。

Q2B。与 Q2A 相同。你不能依赖这个，但是 TCP 连接不会立即被处理掉。根据您的浏览器，您有可能重复使用现有的。