Eu não posso responder a primeira pergunta, mas posso falar um pouco sobre a segunda.
Esta postagem do blog fornece algumas boas informações sobre falhas com tickets de sessão no TLSv1.2: link .
Então, como Michael diz que ambos têm seus problemas e somente se você usar o TLSv1.3 ( literalmente acabou de sair e, assim, tornar-se disponível em implementações no momento da redação) você pode usar a retomada de TLS com total segurança.
No entanto, dizer que o custo de desempenho de não usar a retomada da sessão TLS é significativo, e IMHO, os riscos são relativamente baixos (se alguém tiver acesso ao seu servidor, o jogo acaba, até onde eu sei). Por enquanto, recomendo usar os IDs de sessão e os tickets de sessão. Especialmente porque alguns clientes (Safari e IE no Windows 7 e anteriores) não suportam tickets de sessão. O Safari em particular ainda tem muitos usuários em dispositivos móveis e tablets - você realmente quer desacelerar significativamente todos os usuários do iOS?