Das stört mich wirklich schon lange,
denn … um Daten zu verschlüsseln/entschlüsseln, müssen Sie zuerst einen Verschlüsselungs-/Entschlüsselungsschlüssel (über eine unverschlüsselte Verbindung) an den Computer senden, mit dem Sie kommunizieren, richtig?
Wenn ein Hacker diesen Schlüssel abgreift, ist HTTPS nutzlos... oder nicht? Oder denke ich falsch?
Ich habe umfangreiche Recherchen für meine Schulfächer durchgeführt, kann aber einfach nicht genügend Informationen finden, um meine Fragen zu beantworten.
Antwort1
Es werden keine privaten Schlüssel gesendet. HTTPS basiert auf vertrauenswürdigen Zertifikaten. Alle Webbrowser verfügen über eine Liste vertrauenswürdiger Zertifikatsaussteller. Der Server sendet sein Zertifikat und es wird mit dieser Liste verglichen. Danach gibt der Client nur noch seinen öffentlichen Schlüssel weiter, mit dem der Server die Daten verschlüsselt. Daten können nur mit dem privaten Schlüssel des Clients entschlüsselt werden.
