Кто генерирует ключи сеанса HTTPS?

Question

Некоторые источники сообщают, что веб-браузер генерирует ключ сеанса. Теперь, если веб-браузер генерирует его, то он уязвим для повторных атак.

Также некоторые источники сообщают, что сервер генерирует его часть, а остальную часть создает клиент. Как HTTPS генерирует ключи сеанса?

Answer 1

И клиент, и сервер генерируют Nonce, который используется вместе с другими данными для генерации «Pre-Master Secret». Даже после закрытия соединения сеанс может быть возобновлен, и используется тот же «Мастер-секрет». Все это описано в The first few milliseconds of an HTTPS Connection.