我正在阅读有关SSL如何工作以及它如何保护后台所有内容的信息。据我了解,客户端向服务器发送请求以请求安全网络,然后服务器返回其必须验证的SSL证书,服务器还为客户端提供了公共密钥。客户端创建一个随机的对称密钥,并使用公共密钥对其进行加密,然后服务器可以使用其私钥对同一密钥进行解密,然后将其用于服务器与客户端之间的未来通信。如果在这一点上我对任何事情都不对,请有人纠正我。现在,对于我的问题,由于SSL主要用于防御“中间人”攻击,中间人难道不能只是窃取客户端发送给服务器的对称密钥并冒充用户吗?还不能窃听并获取公共密钥和SSL证书,以便他可以自己加密对称密钥?我很困惑这一切如何融合在一起,而且我似乎无法在互联网上的任何地方找到正确的答案。谢谢!