Заставить клиента или сервер перезапустить рукопожатие SSL (или истечь сеанс SSL)

Question

У меня есть клиент (написанный на Java), который подключается к HTTPS-серверу (сервер также написан на Java).

Сертификат клиента и доверенные сертификаты хранятся в токене PKI. Клиент отправляет некоторые HTTP-запросы на сервер непрерывно. Все работает нормально. Теперь я хочу заставить клиента (или сервер) перезапустить рукопожатие. Другими словами, я хочу обновить SSL-соединение, которое периодически проверяет сертификат сервера. Есть какой-либо способ сделать это? Например, есть ли какие-либо настройки для этого периодически или какое-либо расширение в сертификатах, которое заставляет сервер / клиент перезапустить рукопожатие?

Я знаю о тайм-ауте сессии. Но это не обновит текущее соединение (я). Это заставит только новые соединения снова выполнять рукопожатие.

Answer 1

В сертификате нет ничего, что можно использовать для реализации того, что вы хотите. Вместо этого необходимо реализовать такое поведение на клиенте или сервере: сервер может закрыть текущее соединение и отказаться от повторного использования предыдущего сеанса, вызывая полное рукопожатие. Аналогично, клиент может закрыть существующее соединение и не повторно использовать сеанс, что снова приводит к полному рукопожатию.

Теоретически клиент или сервер также могут инициировать новое рукопожатие в существующем TCP-соединении. Но, как правило, конечные точки ограничивают количество таких повторных согласований в одном и том же TCP-соединении для защиты от атак DoS с повторным согласованием TLS.