Der Grund, warum Sie ein SSL-Zertifikat benötigen, ist, dass Sie verhindern wollen, dass ein "Man in the Middle"-Hacker die Kommunikation zwischen Clients und Ihrem Server abfängt. Das SSL-Zertifikat bestätigt, dass ein vierstufiges Protokoll eingerichtet wird, das einen verschlüsselten Tunnel für die Kommunikation schafft.
Der erste Schritt ist die Einrichtung eines Handshakes. Dies geschieht, wenn der Client die Hand nach einem Server ausstreckt. Während des Handshakes gibt der Client dem Server die von ihm unterstützten Verschlüsselungsarten und eine Zufallszahl an.
Der zweite Schritt findet auf der Serverseite statt. Hier gibt der Server dem Client die von ihm unterstützten Verschlüsselungsarten zurück und stellt sein Zertifikat aus. Das Zertifikat enthält den Domänennamen, den öffentlichen Schlüssel, den Eigentümer der Website, die Daten des Ausstellers des Zertifikats, das Ablaufdatum und eine Seriennummer. Zusammen mit der Übergabe des Zertifikats verschlüsselt der Server auch die Zufallszahl des Clients sowie seinen privaten Schlüssel.
Der dritte Schritt führt zurück zum Computer des Clients. Hier verschlüsselt der Server des Clients die Zufallszahl, die er in Schritt eins gesendet hat, und überprüft, ob die Zahl korrekt ist. Außerdem wird das Zertifikat überprüft, indem eine OCSP-Anfrage (Online Certificate Status Protocol) und eine CRL-Prüfung (Certificate Revoke List) durchgeführt werden, um sicherzustellen, dass das Zertifikat des Servers gültig ist.
Der letzte Schritt besteht darin, ein eindeutiges Sitzungspaar zu erstellen. Hier wird der Verschlüsselungstunnel aufgebaut, der sicherstellt, dass der "Man in the Middle" die Kommunikation nicht abhören kann.