Насколько я понимаю, основная причина использования HTTPS через HTTP заключается в том, что связь зашифрована, поэтому любой, кто слушает, не может просматривать обычный текст обмена HTTP между клиентом / сервером.
Теперь в начале сеанса клиент и сервер согласовывают главный ключ на основе информации, полученной во время рукопожатия SSL/TLS. Но что может помешать кому-то прослушивать получение ключа, используя тот же набор шифров, согласованный клиентом / сервером?
Если ничто не может предотвратить это, то почему HTTPS на самом деле намного безопаснее, чем HTTP? Все, что требуется для MITM, - это самостоятельно спроектировать ключ, используя информацию, полученную из рукопожатия, и использовать ее для расшифровки связи между клиентом и сервером.
Я должен что-то упустить ...