HTTP como um protocolo é sem estado. A RFC 2965 define o mecanismo de estado para HTTP (cookies), mas também há o conceito de sessões HTTP. Os cookies são usados para rastrear a sessão do usuário (usando ids de sessão), mas o conteúdo real das variáveis da sessão é armazenado no servidor. Idiomas como JSP, ASP e PHP incluem um mecanismo de sessão para manter sessões HTTP.
Eu queria saber, existe um RFC ou padrão que define como as sessões HTTP devem ser implementadas? Afinal, JSP, ASP e PHP implementam sessões HTTP praticamente da mesma maneira.
Desculpe por responder minha própria pergunta, mas como normalmente acontece, você gasta muito tempo tentando descobrir algo e quando finalmente pergunta a outra pessoa, esse é o ponto em que você mesmo encontra a resposta.
O RFC original para cookies é 2109, que foi substituído pelo 2965, que por sua vez foi substituído pelo RFC6265. RFC6265 fala sobre sessões e identificadores de sessão.