To jest kontynuacja mojego pytaniatutaj, gdzie znalazłem duże różnice w czasie zapytania z HTTPS vs. żądania HTTP: im większa odległość do serwera, tym większa była ta różnica.

znalazłemładne wyjaśnienie tego narzutu. I tak naprawdę nie można tego rozwiązać, ale dla dalszych żądań ważne jest użycie sesji SSL w połączeniu z utrzymaniem aktywności. Utrzymanie przy życiu jest włączone. Ale identyfikator SSL jest inny dla każdego żądania (używam molo i czytamwłaściwość ssl_session_id).

Okazuje się, że muszę zmienić klienta i serwer zgodnie z tympytanie, ale nadal jestem zdezorientowany i niepewny (odpowiedź na to pytanie nie brzmi solidnie):

W przypadku przeglądarki: czy muszę w jakiś sposób włączyć tę funkcję, jeśli będę wykonywać zapytania javascript do mojego interfejsu API?

Dla Jetty: Czy muszę też wyłączyć ustawienie allowRenegotiate na molo, jak wyjaśnionotutaj? Wygląda jednak na to, że miałoby to kilka implikacji dla bezpieczeństwa, w których nie jestem w pełni, jeśli teraz zezwolenie jest bezpieczne lub nie (wzięte zdoktorzy):

Ustaw, czy dozwolone jest ponowne negocjowanie SSL. CVE-2009-3555 odkrył lukę w SSL / TLS dzięki renegocjacji. Jeśli Twoja wirtualna maszyna Java nie ma CVE-2009-3555 naprawiona, to ponowne negocjowanie nie powinno być dozwolone. CVE-2009-3555 został naprawiony w Sun java 1.6 z zakazem renegocjacji w u19 iz RFC5746 w u22.