2.5.1章节的疑问

[Yueyanc]

这里我们提一个既要又要的要求：”即要降低加解密的耗时，又要保证密钥传输的安全性“。由于对称加解密效率远比非对称加解密效率高得多，所以我们对 HTTP 内容使用对称加密，对称加密的密钥则通过非对称加密得到。后续协商流程中，通过一个随机数确定对称加密算法/密钥，然后使用非对称加密算法的私钥对其加密，客户端用公钥解密后获得对称加密的密钥，再用该密钥解密 HTTP 内容，从而获得明文。
加粗这一段是不是有错误，或者是我没理解对。

既然客户端可以通过公钥去解密获取对称加密的密钥，那么中间人也应该可以用同样的方法获取。毕竟证书包含公钥？

[Yueyanc]

我查到的资料是服务端明文发送随机数，客户端获取到随机数后生产对称加密的密码，然后使用公钥加密之后再发给服务端。

[isno]

解决中间人攻击的手段是 CA + HTTPS 证书。使用证书（网站的公钥在证书内），中间人没办法拿到公钥。除非电脑本地的根证书被攻破。

[Yueyanc]

后来又查了下资料明白了，感觉文中少了CA证书的认证介绍，加上可能会更完整。https://blog.csdn.net/longqicsdn/article/details/129382467