Мне интересно, что делать, если клиент запрашивает второй уровень шифрования поверх SSL?
Например, у меня есть туннель SSL, и клиент хочет, чтобы я затем использовал шифрование с симметричным ключом для данных, проходящих через этот туннель. Симметричный ключ основан на сеансе и отправляется с сервера клиенту по исходному туннелю SSL.
Я не понимаю, насколько это безопаснее. Если туннель SSL скомпрометирован, то теоретически также будет симметричный ключ, который отправляется с сервера для выполнения симметричного шифрования во время сеанса.
Кто-нибудь может предложить разные точки зрения на эту ситуацию? Я уверен, что если бы заранее был установлен общий секрет (например, одноразовый пароль), это сделало бы вещи более безопасными, но поскольку секрет передается через сеанс через SSL, я не вижу как это дает нам дополнительную безопасность.
Что вы думаете, и был ли у вас подобный опыт?
Спасибо