Moin!

Wenn ich aus einem Intnenet-Cafe mit einem Browser zu meinem HTTPs-Dienst aufbaue, der mit Self-Certificate arbeitet, dann stimmen sich Server und Client ab und vereinbaren eine Verschlüsselung.

Der Browser wird aber eine Warnung ausgeben, dass das Zertifikat der Gegenstelle nicht von einer dem Browser bekannten Zertifizierungsstelle unterschrieben wurde. Um also sicherzugehen, dass du wirklich mit deinem Server redest, musst du das Zertifikat manuell auf Korrektheit prüfen (Vergleich des Fingerabdruck-Hashes).

Ist das jedes Mal derselbe Schlüssel, der Verwendung findet?

Nein, die Verschlüsselung wird dynamisch und mit Zufallskomponenten hergestellt. Ausserdem erfolgt sie natürlich in einer Weise, die auch beim Mithören keine Angriffspunkte bietet, um generierte Schlüssel herauszufinden.

- Sven Rautenberg