El proceso SSL (Secure Sockets Layer) implica establecer una conexión segura entre un cliente y un servidor. Comienza con el protocolo de enlace SSL, donde el cliente y el servidor intercambian información para establecer un canal de comunicación seguro. El cliente envía un mensaje «ClientHello», especificando la versión de SSL, los conjuntos de cifrado y otras configuraciones. El servidor responde con un mensaje «ServerHello», eligiendo la versión SSL y el conjunto de cifrado de la lista del cliente. Luego, el servidor envía su certificado digital, que el cliente verifica. Opcionalmente, el servidor puede solicitar el certificado del cliente para la autenticación mutua. Una vez verificado, el cliente y el servidor generan claves de sesión para el cifrado. El cliente envía un mensaje «Finalizado», cifrado con la clave de sesión, y el servidor responde de manera similar. Esto completa el protocolo de enlace y comienza la transmisión segura de datos.
La operación SSL se refiere al proceso continuo de cifrar y descifrar los datos transmitidos entre el cliente y el servidor una vez que se completa el protocolo de enlace SSL. Durante la operación SSL, todos los datos enviados por el cliente y el servidor se cifran utilizando las claves de sesión establecidas durante el protocolo de enlace. Esto garantiza que los datos no puedan ser interceptados ni manipulados por partes no autorizadas. Los datos cifrados se transmiten a través de la red y el destinatario los descifra utilizando la clave de sesión. Este proceso continúa durante la duración de la sesión, brindando confidencialidad e integridad a la comunicación.
Los tres tipos de certificados SSL son certificados de validación de dominio (DV), validación de organización (OV) y validación extendida (EV). Los certificados de dominio validado (DV) proporcionan cifrado básico y se emiten después de verificar que el solicitante es propietario del dominio. Los certificados validados por la organización (OV) ofrecen un mayor nivel de seguridad al verificar la identidad de la organización y la propiedad del dominio. Los certificados de Validación Extendida (EV) brindan el más alto nivel de confianza y seguridad, y requieren un proceso de verificación exhaustivo de la existencia legal, física y operativa de la organización. Los certificados EV se indican mediante una barra de direcciones verde en el navegador, que muestra el nombre de la organización, lo que ayuda a mejorar la confianza del usuario.