Esto realmente me molesta desde hace mucho tiempo.
porque... para cifrar/descifrar datos primero necesita enviar una clave de cifrado/clave de descifrado (en una conexión no cifrada) a la computadora con la que se está comunicando, ¿verdad?
Si un hacker captura esa clave HTTPS es inútil... ¿o no? ¿O estoy pensando mal?
He realizado una investigación exhaustiva sobre mis materias escolares sobre este tema, pero no puedo encontrar suficiente información para responder mis preguntas.
Respuesta1
No se envían claves privadas. HTTPS se basa en certificados confiables. Todos los navegadores web tienen una lista de emisores de certificados confiables. El servidor envía su certificado y se compara con esta lista. Después de eso, el cliente proporciona solo su clave pública que el servidor utiliza para cifrar los datos. Los datos sólo se pueden descifrar con la clave privada del cliente.
