Beim Aufbau einer verschlüsselten HTTPS-Verbindung wird eine sogenannte Session initialisert. Die kryptografischen Details sollen an dieser Stelle nicht erläutert werden.
Es ist möglich, diese HTTPS-Session für das Tracking zu nutzen und für bis zu 48h immer wieder zu erneuern. Dieses Tracking-Verfahren ist so gut wie nicht nachweisbar, da es vollständig durch den Webserver realisiert wird und keine Spuren im Browser hinterlässt.
Man kann davon ausgehen, dass dieses Tracking als Ergänzung zu (Ever-) Cookies genutzt wird.
Für HTTPS Session Tracking gibt es zwei Möglichkeiten:
- Tracking via Session Resumption: Das Verfahren ist im RFC 5077 beschrieben:
An Internet standards track protocol.
Gegen Tracking via Session Resumption kann man sich schützen, indem man im Mozilla Firefox unter "about:config" die folgende Variable auf FALSE setzt:
security.enable_tls_session_tickets false
Das führt zu geringen Performance Einbußen bei SSL-verschlüsselten Webseiten, da für jede Seite eine neue HTTPS Session ausgehandelt werden muss. Um die Einbußen etwas zu kompensieren, kann man "SSL False Start" aktivieren:
security.ssl.enable_false_start true
Dabei werden verschlüsselte Daten bereits gesendet, wenn die Verifizierung der SSL-Session noch nicht abgeschlossen ist. Ein Sicherheitsrisiko besteht dabei nicht. Sollte die Verifizierung fehlschlagen, werden die bereits empfangenen Daten verworfen.
- Tracking via SSL-Session-ID: wird ebenfalls von nahezu allen Webserven unterstützt wie IBM WebSphere, Apache Tomcat und andere mehr. Auch Webshops können die Session-ID für das Tracking verwenden (z.B. die xtcModified eCommerce Shopsoftware).
Gegen das Tracking via Session-ID schützen nur das TorBrowserBundle und der JonDoBrowser (Beta). Man kann sich nicht durch Konfigurationseinstellungen oder Add-ons schützen, da der Source-Code des Browser dafür modifiziert werden muss.