कुछ सूत्र कहते हैं कि वेब ब्राउज़र सत्र कुंजी उत्पन्न करता है। अब यदि वेब ब्राउजर इसे उत्पन्न करता है तो रीप्ले हमलों के लिए यह कमजोर है।कौन HTTPS सत्र कुंजी उत्पन्न करता है?
इसके अलावा कुछ स्रोत कहते हैं कि सर्वर इसका एक हिस्सा उत्पन्न करता है और शेष क्लाइंट उत्पन्न करता है। HTTPS सत्र कुंजी कैसे उत्पन्न करता है?