Me imagino que en el centro de la misma, si no se coloca en el cable, no se puede oler y es más difícil de romper. Puedo imaginar un escenario como este: un atacante de alguna manera se interpone en medio de la comunicación entre el servidor y los clientes, y registra todos los datos. Después de un tiempo, el atacante puede comprometer el certificado del servidor, obteniendo su clave privada. Con eso, todas las sesiones SSL capturadas pueden verse comprometidas, ya que el secreto compartido puede ser descifrado.
Diffie-Hellman evita esto, ya que cada parte tiene un secreto y otra porción de datos relacionados con ese secreto que se considera público. Una vez que una parte ha recibido la pieza pública de la otra parte, se hace un poco de matemática sofisticada que genera un número que está relacionado con ambos secretos, pero que no se puede obtener de la información pública. Entonces, en resumen, el intercambio de claves DH puede ser detectado, pero no se puede obtener el secreto compartido.
En el escenario anterior, a menos que el atacante comprometa el servidor en sí e instale una versión modificada de la suite SSL que registra los secretos compartidos (una tarea mucho más complicada. Obtener el certificado completo puede implicar ingeniería social o comprometer otra caja) ), las sesiones SSL capturadas siguen siendo seguras, ya que el secreto compartido nunca se transfiere de ninguna forma.