Когда инициируется HTTPS-разговор, генерируется случайное число для создания ключа для обмена (или что-то в этом роде). Чего я не понимаю, так это того, как это предотвращает повторные атаки.
Почему злоумышленник не может просто повторить все запросы, сделанные настоящим клиентом?
В этом ответе утверждается, что это невозможно, а этот ответ утверждает обратное. Я не понимаю, как атака была бы невозможна, если бы не были задействованы одноразовые номера.