<html><body><div dir="ltr">Thanks Anthony for confirming and filing the big. In my case it does not work with turning it off, because the FTP Server enforce the „Same Session“ for the two connections. We do poke around in the Session Cache because the sockets are for different ports (This Lack of api was discussed a few times here) so maybe that’s the issue. I will report back as soon as I get a reproducer.</div><div id="ms-outlook-mobile-body-separator-line" dir="ltr"><br></div><div id="ms-outlook-mobile-signature"><span style="font-family: Aptos; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">Gruß,</span><div dir="ltr" style="text-align: left; text-indent: 0px; background-color: rgb(255, 255, 255); font-family: Aptos; font-size: 12pt; color: rgb(0, 0, 0);">Bernd</div><div dir="ltr" style="text-align: left; text-indent: 0px; background-color: rgb(255, 255, 255); font-family: Aptos; font-size: 12pt; color: rgb(0, 0, 0);">-- </div><div style="font-family: Aptos; font-size: 12pt; color: rgb(0, 0, 0);"><span style="background-color: rgb(255, 255, 255);">https://bernd.eckenfels.net</span></div></div><div> </div><div id="mail-editor-reference-message-container" class="ms-outlook-mobile-reference-message"><hr style="display: inline-block; width: 98%;"><div id="divRplyFwdMsg" dir="ltr"><span style="font-family: Calibri, sans-serif;"><b>Von:</b> Anthony Scarpino <anthony.scarpino@oracle.com><br><b>Gesendet:</b> Montag, Juni 30, 2025 11:52 PM<br><b>An:</b> Bernd Eckenfels <ecki@zusammenkunft.net>; security-dev@openjdk.org <security-dev@openjdk.org><br><b>Betreff:</b> Re: Discard or clamp ticket lifetime?</span><div style="font-family: Calibri, sans-serif;"> </div></div>Hi Bernd,

<br>

<br>This likely occurred when stateless ticket handling was introduced in jdk 13. 

<br>For your customer situation, disabling stateless ticket by setting the system 

<br>property "jdk.tls.client.enableSessionTicketExtension" to false may cause the 

server to store the session and allow resumption to operate like jdk 11.

<br>

<br>The TLS 1.2 ticket handling should be better about receiving a hint greater 

<br>than the max, instead of just rejecting it.  I don't think the client should 

<br>be storing the ticket for MAX_INT, but storing it for the max of 7 days would 

be fine with me.  JDK-8361108.

<br>

<br>Thanks,

<br>

<br>Tony

<br>

<br>

<br>On 6/30/25 7:45 AM, Bernd Eckenfels wrote:

> This OpenSSL Ticket describes the same MAX_INT liferime problem, and they Seen to use clamping as well.

> I think the change and the exakt condition is different (since it is a TLS1.3 issue for them), but the Observation that vsftpd is causing this, will allow us to reproduce it. (I may report it to vsftpd as well).

<br>> 

<br>> https://github.com/openssl/openssl/issues/17948

<br>> 

<br>> Gruß

<br>> Bernd

<br>> 

<br>> Bernd Eckenfels wrote on 29. June 2025 15:27 (GMT +02:00):

<br>>> We deal with a regression in JSSE regarding resumption tickets with high

<br>>> lifetime.

<br>>> In older versions with Java 11 the customer claimed a FTP Server was

>> reachable, with Java 21 the connections are rejected.

<br>> …

<br>

<br></div></body></html>