Механизм назначения переменной $ssl session id

[Romano]

Насколько я понял, значение этой переменой доступно для конфигурации сервера
после получения ssl-сессии из кеша, т.е. как минимум после повторного захода
на сайт.

Вопрос, каким образом спамеры "получают" идентификатор с первого захода
ранее неизвестных адресов?

Posted at Nginx Forum: https://forum.nginx.org/read.php?21,280591,280591#msg-280591