Warum glaubst Du ist auch für eine https-Verbindung ein anfänglicher Handshake nötig, bei dem jeder, der diesen mitliest, angegriffen werden kann?

Aber der läuft nicht per E-Mail über womöglich 5 öffentlich Mail-Relays wo jeder bequem den Key mitlesen kann.

Zudem ist der Schlüssel bei SSL/TSL nicht für alle Ewigkeit gegossen - da war sogar der Vorschlag des OP weniger Haarsträubend.

Wie bei https. Wer den Handshake als Man-In-The-Middle mitbekommt kann alles tun.

Genau aus dem Grund ist Online-Banking nur mit HTTPS allein und den Zugangsdaten auch nicht zulässig - dafür gibts dann noch weitere Sicherheitshürden wie etwa TAN (die optional sogar per SMS verschickt werden) die nur dem autorisierten Kunden vorliegen können. Wird eine TAN-Liste verschickt und nicht binnen einer wenigtätigen Frist vom Empfänger bestätigt wird sofort sämtlicher zugang zu den Transaktionen gesperrt.

Wer schickt Cookies bei jedem Request mit?

Der Browser bei einem Request.

Der Server hat einen eigenen Private Key und einen Public Key, mit dem der Client Daten an den Server verschlüsseln kann.

Und umgekehrt hat der Client einen eigenen Private Key und einen Public Key, mit dem der Server Daten an den Client verschlüsseln kann.

Wozu - der OP wollte nur Daten vom Server ZUM Client verschicken.

Zudem hat dann der Server kein Key-Paar sondern je eine Hälfte eines unterschiedlichen Paars, das ist etwas völlig anders.

Wer kann denn alles meine Cookies auslesen? Jeder der physischen Zugriff auf meinen PC hat. Aber nicht andere Webistes auf anderen Domains?

Von Firesheep hast du gehört? Damit kann bis auf weiteres jeder Vollidiot mithören.

Der Handshake liegt auch im Klartext vor, bis dann die verschlüsselte Verbindung aufgebaut ist. Also warum darf ich über https Bankgeschäfte abwickeln?

Siehe oben.

In Summe laufen deine Ausführungen jedenfalls darauf nach HTTPS nachzubauen - und das mehr schlecht als recht.

Natürlich lässt sich auch bei HTTPS nicht umgehen, dass 1x der Schlüssel übermittelt werden muss, aber zumindest haben sich über die Systematik einen Haufen Experten Jahrzehte lang die Köpfe zerbrochen.

Wenn es wirklich um sichere Kommunikation geht ist vermutlich VPN oder IP over Avian Carriers schlauer.

Aber was denn nun genau für Verschlussachen über das Internet gejagt werden sollen, verrät der OP nicht.

"Es geht um Kreditkartendaten" wäre z.B. ein klare Aussage und es gibt dafür von den Kreditkartenunternehmen auch klare Richtlinien - und wenn die selbstgebaute Lösung 10x besser ist als HTTPS, bei einer Sicherheitslücke hat man den Arsch sowas von offen, das würde ich nie im Leben riskieren.