Funktionsweise

• Client baut eine Verbindung zum Server auf.
• Server authentifiziert sich gegenüber dem Client mit einem Zertifikat.
• Client überprüft hierbei die Vertrauenswürdigkeit des X.509-Zertifikats
• Client prüft ob der Servername mit dem Zertifikat übereinstimmt.
• Client kann sich optional mit eigenen Zertifikat gegenüber dem Server authentifizieren.
• Dannach schickt Client dem Server eine mit dem öffentlichen Schlüssel des Servers verschlüsselte geheime Zufallszahl
• Alternativ berechnen die beiden Parteien mit dem Diffie-Hellman-Schlüsselaustausch ein gemeinsames Geheimnis.
• Aus dem Geheimnis wird dann ein kryptographischer Schlüssel abgeleitet.
• Schlüssel wird in der Folge benutzt, um alle Nachrichten der Verbindung mit einem symmetrischen Verschlüsselungsverfahren zu verschlüsseln
• Sowiezum Schutz von Nachrichten-Integrität und Authentizität durch einen Message Authentication Code abzusichern.