|
|
Nella fase iniziale di handshaking tra server e client, per autenticare l'identità del server, l'SSL utilizza RSA e la chiave pubblica dell'ente di certificazione del server. Sempre nella fase di handshaking, il client negozia con il server l'algoritmo di crittografia simmetrico da utilizzare per lo scambio dei messaggi.
Alla conclusione della fase di handshaking, il client genera una chiave segreta e la invia al server utilizzando RSA e la chiave pubblica del server. Per restrizioni imposte dal governo americano, la lunghezza massima della chiave segreta per transazioni fuori dagli USA e dal Canada non può superare i 40 bit (56 bit per transazioni finanziarie).
Il passo finale del protocollo SSL è l'invio del messaggio al server, crittografato con la chiave segreta. Questa chiave viene modificata dal client ad ogni transazione.
In conclusione, un numero di carta di credito inviato via Internet con SSL è molto più sicuro di quando la carta viene data in mano a perfetti sconosciuti (ad es. il cameriere di un ristorante).