Ho una piccola confusione handshake SSL tra browser e server in un tipico scenario di https web:Come si fa del browser generare chiave simmetrica durante handshake SSL
Quello che ho capito finora è che nel processo di handshake SSL, il client (browser in questo caso) crittografa una chiave simmetrica selezionata a caso con la chiave pubblica (certificato ricevuto dal server). Questo viene inviato al server, il server lo decrittografa (chiave simmetrica) con la chiave privata. Questa chiave simmetrica viene ora utilizzata durante il resto della sessione per crittografare/decrittografare i messaggi ad entrambe le estremità. Uno dei motivi principali per farlo è dato come crittografia più veloce utilizzando le chiavi simmetriche.
Domande 1) In che modo il browser seleziona e genera questa chiave simmetrica selezionata "casualmente"?
2) Do sviluppatori (o/e gli utenti del browser) hanno il controllo su questo meccanismo di generazione di chiavi simmetriche?
Il cliente non genera la chiave di sessione; non lo cripta; e non lo trasmette. La chiave di sessione deriva da un protocollo di chiave d'accordo. La tua descrizione è fondamentalmente errata. La tua domanda è fondata su un falso presupposto. – EJP