O processo SSL (Secure Sockets Layer) envolve o estabelecimento de uma conexão segura entre um cliente e um servidor. Começa com o handshake SSL, onde o cliente e o servidor trocam informações para estabelecer um canal de comunicação seguro. O cliente envia uma mensagem “ClientHello”, especificando a versão SSL, conjuntos de criptografia e outras configurações. O servidor responde com uma mensagem “ServerHello”, escolhendo a versão SSL e o conjunto de criptografia na lista do cliente. O servidor então envia seu certificado digital, que o cliente verifica. Opcionalmente, o servidor pode solicitar o certificado do cliente para autenticação mútua. Depois de verificados, o cliente e o servidor geram chaves de sessão para criptografia. O cliente envia uma mensagem “Concluído”, criptografada com a chave de sessão, e o servidor responde de forma semelhante. Isso completa o handshake e a transmissão segura de dados começa.
A operação SSL refere-se ao processo contínuo de criptografia e descriptografia de dados transmitidos entre o cliente e o servidor após a conclusão do handshake SSL. Durante a operação SSL, todos os dados enviados pelo cliente e servidor são criptografados utilizando as chaves de sessão estabelecidas durante o handshake. Isso garante que os dados não possam ser interceptados ou adulterados por partes não autorizadas. Os dados criptografados são transmitidos pela rede e o destinatário os descriptografa usando a chave de sessão. Este processo continua durante toda a sessão, proporcionando confidencialidade e integridade à comunicação.
Os três tipos de certificados SSL são certificados Validados por Domínio (DV), Validados pela Organização (OV) e Validação Estendida (EV). Os certificados Domain Validated (DV) fornecem criptografia básica e são emitidos após a verificação de que o requerente possui o domínio. Os certificados Validados pela Organização (OV) oferecem um nível mais alto de segurança, verificando a identidade da organização e a propriedade do domínio. Os certificados de Validação Estendida (EV) fornecem o mais alto nível de confiança e segurança, exigindo um processo de verificação completo da existência legal, física e operacional da organização. Os certificados EV são indicados por uma barra de endereço verde no navegador, mostrando o nome da organização, o que ajuda a aumentar a confiança do usuário.