Beim SSL-Verfahren (Secure Sockets Layer) wird eine sichere Verbindung zwischen einem Client und einem Server hergestellt. Es beginnt mit dem SSL-Handshake, bei dem Client und Server Informationen austauschen, um einen sicheren Kommunikationskanal einzurichten. Der Client sendet eine „ClientHello“-Nachricht, in der die SSL-Version, Cipher Suites und andere Einstellungen angegeben werden. Der Server antwortet mit einer „ServerHello“-Nachricht und wählt die SSL-Version und die Verschlüsselungssuite aus der Liste des Clients aus. Der Server sendet dann sein digitales Zertifikat, das der Client überprüft. Optional kann der Server das Zertifikat des Clients zur gegenseitigen Authentifizierung anfordern. Nach der Überprüfung generieren Client und Server Sitzungsschlüssel für die Verschlüsselung. Der Client sendet eine „Fertig“-Nachricht, verschlüsselt mit dem Sitzungsschlüssel, und der Server antwortet ähnlich. Damit ist der Handshake abgeschlossen und die sichere Datenübertragung beginnt.
Der SSL-Betrieb bezieht sich auf den fortlaufenden Prozess der Verschlüsselung und Entschlüsselung der zwischen Client und Server übertragenen Daten nach Abschluss des SSL-Handshakes. Während des SSL-Betriebs werden alle vom Client und Server gesendeten Daten mithilfe der beim Handshake festgelegten Sitzungsschlüssel verschlüsselt. Dadurch wird sichergestellt, dass die Daten nicht von Unbefugten abgefangen oder manipuliert werden können. Die verschlüsselten Daten werden über das Netzwerk übertragen und vom Empfänger mit dem Sitzungsschlüssel entschlüsselt. Dieser Prozess wird für die Dauer der Sitzung fortgesetzt und sorgt so für Vertraulichkeit und Integrität der Kommunikation.
Die drei Arten von SSL-Zertifikaten sind Domain Validated (DV), Organization Validated (OV) und Extended Validation (EV) Zertifikate. Domain Validated (DV)-Zertifikate bieten eine grundlegende Verschlüsselung und werden ausgestellt, nachdem überprüft wurde, dass der Antragsteller Eigentümer der Domain ist. Organization Validated (OV)-Zertifikate bieten ein höheres Maß an Sicherheit, indem sie die Identität der Organisation und den Besitz der Domäne verifizieren. Extended Validation (EV)-Zertifikate bieten ein Höchstmaß an Vertrauen und Sicherheit und erfordern einen gründlichen Überprüfungsprozess der rechtlichen, physischen und betrieblichen Existenz der Organisation. EV-Zertifikate werden im Browser durch eine grüne Adressleiste mit dem Namen der Organisation gekennzeichnet, was dazu beiträgt, das Vertrauen der Benutzer zu stärken.