Hallo Linuchs,

ohne dass ich einen Code eingebe,

Du nicht. Aber der Server schickt Dir ein HTTPS-Zertifikat, in dem sein Hostname drinsteht, und das von einer vertrauenswürdigen Instanz beglaubigt ist.

Dafür hat dein Computer eine Liste von Stammzertifikaten, die aus der Distributionsquelle (oder von Microsoft Update) regelmäßig aktualisiert werden. Natürlich ist irgendwo die Wurzel allen Vertrauens hinterlegt, wo dieser Anchor Of Trust hängt und wie seine Befestigung regelmäßig überprüft wird (Zertifikate verfallen nach ein paar Jahren), darüber weiß ich zu wenig um es darstellen zu können.

Basierend auf dem validierten Zertifikat des Servers kann der Client nun einen Transportschlüssel generieren und mit dem public key im Zertifikat verschlüsseln. Der Server hat den private key und kann es entschlüsseln.

Bei einer Man-In-The-Middle Attacke hat der MITM das Problem, kein beglaubigtes Zertifikat ausstellen zu können, in dem der Hostname des eigentlichen Servers steckt. Es sei denn, eins der Stammzertifikate ist kompromittiert. Was durchaus schon vorgekommen ist und eine Menge Aufregung ausgelöst hat.

Rolf