¿Quién genera las claves de sesión HTTPS?

Question

Algunas fuentes dicen que el navegador web genera la clave de sesión. Ahora, si el navegador web lo genera, entonces es vulnerable a los ataques de reproducción.

También algunas fuentes dicen que el servidor genera una parte y el resto genera el cliente. ¿Cómo genera HTTPS claves de sesión?

Answer 1

Tanto el cliente como el servidor generan un Nonce que se utiliza junto con otros datos para generar el "secreto premaster". Incluso después de que la conexión se haya cerrado, se puede reanudar una sesión y se usa el mismo "Secreto principal". Todo esto está cubierto en The first few milliseconds of an HTTPS Connection.