Ai tạo khóa phiên HTTPS?

Question

Một số nguồn cho biết rằng trình duyệt web tạo khóa phiên. Bây giờ nếu trình duyệt web tạo ra nó thì nó dễ bị tấn công phát lại.

Cũng có một số nguồn cho biết máy chủ tạo một phần của nó và phần còn lại mà máy khách tạo ra. HTTPS tạo khóa phiên như thế nào?

Answer 1

Cả khách hàng và máy chủ đều tạo ra một Nonce được sử dụng cùng với các dữ liệu khác để tạo ra "Pre-Master Secret". Ngay cả sau khi kết nối đã đóng một phiên có thể được tiếp tục và cùng một "Master Secret" được sử dụng. Tất cả điều này được bao gồm trong The first few milliseconds of an HTTPS Connection.