Хммм. Хорошо бы пример....

> почему нельзя передать симетричный ключ серверу с помощью шифрования публичным ключём сервера ? Для упрощения можно считать что как-бы так и происходит. На самом деле все чуть сложнее, см. ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB_%D0%94%D0%B8%D1%84%D1%84%D0%B8_%E2%80%94_%D0%A5%D0%B5%D0%BB%D0%BB%D0%BC%D0%B0%D0%BD%D0%B0 > после шифрует все сообщения к серверу публичным ключём сервера который был в сертификате Нет, все сообщения шифруются симметричным сеансовым ключем, который согласуется при помощи алгоритма Диффи-Хеллмана

Потому что зеленое только то, что защищенно доверенным сертификатом. Остальное - красное ;) и насколько я понимаю самоподписанные не могут стать доверенными, даже если их руками явно попытаться добавить в хранилище.

1. уникальный идентификатор CA т. н. issuer name содержится в сервером сертификате 2. предустановлены в ОС её производителем

@@DmitryKetov почему для translate.yandex.ru центр "Yandex CA", но его нет в настройках браузера в разделе "Certificate authorities"? почему на ya.ru и yandex.ru в инфе о сертификате в "Issued To" напротив "Common Name (CM)" указано *.xn--d1acpjx3f.xn--p1ai (что вообще похоже на кодирование кириллицы)?

для справки, использую Yandex.Browser

@@user-bp4co9ey5q 1. Потому что Yandex CA есть подчиненный CA и его сертификат проверяется вышестоящим Certum Trusted Network CA (Unizeto Technologies S.A.) 2. Потому что а) xn--d1acpjx3f.xn--p1ai = яндекс.рф, см. ru.wikipedia.org/wiki/Punycode b) Issued To не единственное поле сертификата, которое указывает его владельца - см. расширения сертификата, поле en.wikipedia.org/wiki/Subject_Alternative_Name