Hello,

Moin!

Wenn ich aus einem Intnenet-Cafe mit einem Browser zu meinem HTTPs-Dienst aufbaue, der mit Self-Certificate arbeitet, dann stimmen sich Server und Client ab und vereinbaren eine Verschlüsselung.

Der Browser wird aber eine Warnung ausgeben, dass das Zertifikat der Gegenstelle nicht von einer dem Browser bekannten Zertifizierungsstelle unterschrieben wurde. Um also sicherzugehen, dass du wirklich mit deinem Server redest, musst du das Zertifikat manuell auf Korrektheit prüfen (Vergleich des Fingerabdruck-Hashes).

Das ist mir schon klar.
Der nächste, der an diesem Host (Client) sitzt, wird aber nicht mehr gefragt, da der sich das Server-Zertifikat gemerkt hat.

Ist das jedes Mal derselbe Schlüssel, der Verwendung findet?

Nein, die Verschlüsselung wird dynamisch und mit Zufallskomponenten hergestellt. Ausserdem erfolgt sie natürlich in einer Weise, die auch beim Mithören keine Angriffspunkte bietet, um generierte Schlüssel herauszufinden.

Eben das ist mir noch vollkommen unverständlich. HTTPs ist doch auch zustandslos?!
Dann wird also für jedes Request/Response-Paar ein neuer Schlüssel ausgehandelt?

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg