Application Data Fragment Compress Add MAC Encrypt Append SSL record header
Giao thức SSL sử dụng kết hợp 2 loại mã hoá đối xứng và công khai. Sử dụng mã hoá đối xứng nhanh hơn rất nhiều so với mã hoá công khai khi truyền dữ liệu, nhƣng mã hoá công khai lại là giải pháp tốt nhất trong quá trình xác thực. Một giao dịch SSL thƣờng bắt đầu bởi quá trình “bắt tay” giữa hai bên (SSL handshake). Các bƣớc trong quá trình “bắt tay” có thể tóm tắt nhƣ sau:
1. Client sẽ gửi cho server số phiên bản SSL đang dùng, các tham số của thuật toán mã hoá, dữ liệu đƣợc tạo ra ngẫu nhiên (đó chính là digital signature) và một số thông tin khác mà server cần để thiết lập kết nối với client.
2. Server gửi cho client số phiên bản SSL đang dùng, các tham số của thuật toán mã hoá, dữ liệu đƣợc tạo ra ngẫu nhiên và một số thông tin khác mà client cần để thiết lập kết nối với server. Ngoài ra server cũng gửi certificate của nó đến Client, và yêu cầu certificate của client nếu cần.
3. Client sử dụng một số thông tin mà server gửi đến để xác thực server. Nếu nhƣ server không đƣợc xác thực thì ngƣời sử dụng sẽ đƣợc cảnh báo và kết nối không đƣợc thiết lập. Còn nếu nhƣ xác thực đƣợc server thì phía client sẽ thực hiện tiếp bƣớc 4.
4. Sử dụng tất cả các thông tin đƣợc tạo ra trong giai đoạn bắt tay ở trên, client (cùng với sự cộng tác của server và phụ thuộc vào thuật toán đƣợc sử dụng) sẽ tạo ra master secret(Khóa mật 48-byte đƣợc chia sẻ giữa client và server) cho phiên làm việc, mã hoá bằng khoá công khai (public key) mà server gửi đến trong certificate ở bƣớc 2, và gửi đến server.
5. Nếu server có yêu cầu xác thực client, thì phía client sẽ đánh dấu vào phần thông tin riêng chỉ liên quan đến quá trình “bắt tay” này mà hai bên đều biết. Trong trƣờng hợp này, client sẽ gửi cả thông tin đƣợc đánh dấu và certificate của mình cùng với master secret đã đƣợc mã hoá tới server.
6. Server sẽ xác thực client. Trƣờng hợp client không đƣợc xác thực, phiên làm việc sẽ bị ngắt. Còn nếu client đƣợc xác thực thành công, server sẽ sử dụng khoá bí mật (private key) để giải mã master secret, sau đó thực hiện một số bƣớc để tạo ra master secret.
7. Client và server sẽ sử dụng master secret để tạo ra các khóa phiên (session key), đó chính các khoá đối xứng đƣợc sử dụng để mã hoá và giải mã các thông tin trong phiên làm việc và kiểm tra tính toàn vẹn dữ liệu.
8. Client sẽ gửi một lời nhắn đến server thông báo rằng các thông báo tiếp theo sẽ đƣợc mã hoá bằng session key. Sau đó nó gửi một lời nhắn đã đƣợc mã hoá để thông báo rằng phía client đã kết thúc giai đoạn “bắt tay”.
9. Server cũng gửi một lời nhắn đến client thông báo rằng các thông báo tiếp theo sẽ đƣợc mã hoá bằng session key. Sau đó nó gửi một lời nhắn đã đƣợc mã hoá để thông báo rằng server đã kết thúc giai đoạn “bắt tay”.
10. Lúc này giai đoạn “bắt tay” đã hoàn thành, và phiên làm việc SSL bắt đầu. Cả hai phía client và server sẽ sử dụng các session key để mã hoá và giải mã thông tin trao đổi giữa hai bên, và kiểm tra tính toàn vẹn dữ liệu.