Percebo que, na primeira vez em que um usuário visita meu site, os URLs gerados pelo Wicket contêm umjsessionid, em vez de confiar no cookie para obter informações da sessã

O cookie é definido com êxito e, se o usuário simplesmente recarregar a página, ojsessionid não é mais anexado aos URLs. Você pode testar isso aqui: pixlshare.com. Passar o mouse sobre qualquer um dos links de imagem mostrará um URL com umjsessionid; recarregue a página e ojsessionids será removido

De experiências anteriores com oWicket página SEO Eu sei como remover ojsessionid para ocultá-lo dos bots, mas empregar essa técnica para usuários comuns parece um hack. Ele também quebrará o site para aquelas pessoas paranóicas o suficiente para desativar os cookie

Isso está acontecendo após uma mudança recente para o Tomcat da Glassfish, embora eu não possa dizer com certeza que essa é a causa. Além disso, estou usando o mod_proxy do Apache na frente do Tomcat.