中国ネタでSSL等に使う証明書を当局に提出するって話があるのだけど、実際のSSL動作のイメージで疑問点があったのでメモ書きです。
だれか、偉い人教えて・・・・

疑問点

証明書を提出していれば、当局はいかなるタイミングでも自在に検閲ができるのか？

サイト主のイメージ

提出されている証明書を利用できるのは、SSLのハンドシェイク時のみ。
データの転送フェイズに入ってしまってから途中で検閲はできない。
よって、セッション確立時からがっつり監視する必要がある。

上記のように思ってる理由

ハンドシェイク時に、データの転送時に使用する暗号鍵を送信しているから（証明書の鍵でデータを保護しているわけではない）。
正しくは、ハンドシェイク時に暗号鍵の生成に使用しているプリマスタ・シークレットを送っている。
なお、ハンドシェイク時のプリマスタ・シークレットは、証明書の鍵で保護されているので、ハンドシェイク時から監視して暗号鍵を盗むことはできるはず。

参考にした資料

SSLセッションの設定方法（SSLハンドシェイク）