Khi server nhận bản tin ClientHello, nó chọn một bộ mã hóa được đưa ra bởi client, và chỉ thị nén và chèn chúng vào trong bản tin ServerHello. Bản tin ServerHello có phần tên các thông số giống như trong bản tin ClientHello. Ngoài bộ mã hóa và chỉ thị nén, server còn tạo một bộ nhận dạng phiên, nếu như thông số SessionID trong bản tin ClientHello được đặt bằng 0, và duy nhất một giá trị Random. Sau đó Server gửi bản tin ServerHello tới client. Và bây giờ, cả hai phắa đã thỏa thuận dùng thuật toán trao đổi khóa, thuật toán mã hóa đối xứng và hàm băm an toàn.
Cả giao thức TLS Handshake và TLS Record đều dùng hàm băm đảm bảo, nó có thể là MD5 hoặc là SHA-1 cùng với thuật toán HMAC cung cấp việc bảo vệ tắnh nguyên vẹn bản tin.
ii. Pha 2: Nhận thực Server và trao đổi khóa
Nếu như server lựa chọn nhận thực chắnh nó với client, nó gửi một khóa xác nhận chung trong bản tin Certificate. Trước khi client và server có thể dùng thuật toán mã hóa được thỏa thuận, chúng phải thay đổi khóa bắ mật bằng cách dùng một trong những những thuật toán được mô tả trong bảng dưới đây.
Thuật toán thay đổi khóa
Mô tả Thay đổi khóa
RSA
Server gửi chứng nhận khóa công khai của nó tới client trong một bản tin Certificate. Chứng nhận khóa công khai chứa khóa công khai RSA của server và được kắ hiệu bởi CA
Client kiểm tra chứng nhận khóa công khai và dùng khóa công khai RSA để mã hóa bảo mật trước tiên. Bảo mật trước tiên đã mã hóa được gửi tới server trong bản tin ClientKeyExchang. Diffie-Hellman
nhanh
Ớ Server gửi chứng nhận khóa công khai của nó tới client trong một bản tin Certificate. Chứng nhận khóa công khai chứa
Ớ Server khởi tạo khóa công khai Diffie-Hellman bằng cách dùng các thông số Diffie-Hellman hợp lệ. Khóa công khai và các thông số được kắ hiệu với khóa riêng của server và gửi tới client trong bản tin ServerKeyExchange.
Ớ Client kiểm tra chứng nhận khóa công khai, kiểm tra kắ hiệu trong bản tin ServerKeyExchange và khởi tạo khóa công khai Diffie-Hellman của nó, bằng cách dùng các thông số trong bản tin.
Ớ Client gửi khóa công khai Diffie-Hellman của nó tới server trong bản tin ClientKeyExchange.
Ớ Cả hai thực thể này thu được bảo mật trước tiên bằng cách dùng thuật toán Diffie-Hellman.
Diffie-Hellman Ớ Server gửi chứng nhận khóa công khai của nó tới client trong một bản tin Certificate. Chứng nhận khóa công khai chứa khóa công khai RSA của server và được kắ hiệu bởi CA.
Ớ Client kiểm tra kắ hiệu số của chứng nhận khóa công khai nhận được.
Ớ Client gửi khóa công khai Diffie-Hellman của nó trong bản tin Certificate hoặc là trong bản tin ClientKeyExchange.
Ớ Cả hai thực thể thu được bảo mật đầu tiên bằng cách dùng thuật toán Diffie-Hellman
Diffie-Hellman ẩn
Ớ Chứng nhận khóa công khai không được sử dụng.
Ớ Server gửi khóa công khai Diffie-Hellman của nó tới client trong bản tin ServerKeyExchange.
Ớ Client gửi khóa công khai Diffie-Hellman tới server trong bản tin ClientKeyExchange.
Ớ Cả hai thực thể thu được khóa bảo mật đầu tiên bằng cách dùng thuật toán Diffie-Hellman.