Müşterinin browser' ı sanal ticaret sitesinin dijital sertifikasının geçerliliğini kontrol eder. Bu kontrolün bir parçası olarak sertifikanın son kullanım tarihi, sertifikayı hazırlayan kuruluşun (CA - Certificate Authority) geçerli olup olmadığı ve CA' nın açık anahtarının, CA' nın browserda bulunan dijital imzasını onaylaması işlemleri gerçekleşir. Sanal ticaret sitesinin tanınması ve doğrulanmasının ardından, müşterinin browser' ı sadece bu SSL oturumuna özgü bir gizli/özel (secret/private) anahtar yaratır (bu SSL oturumu bittiğinde anahtar yok olur). Bu anahtara oturum anahtarı adı ( session Key ) verilir. Oturum anahtarı sanal ticaret sitesinin doğrulanmış dijital sertifikasından elde edilmiş genel anahtarla şifrelenerek, sanal ticaret sitesinin server' ına yollanır. Sanal Ticaret sitesi server' ı oturum anahtarını deşifre etmek için özel anahtarını kullanır. Netice itibari ile hem sanal ticaret sitesi hem de müşterinin browser' ı ortak bir oturum anahtarı paylaşmaya başlarlar. Bu işlemlerin yapısı itibari ile oturum anahtarı hiç bir üçüncü grubun farkına varamayacağı ve bu grupların müdahalesine maruz kalmayacak şekilde üretilmiş olur. Oturum anahtarı bundan sonraki mesajlaşmalarda şifreleyici ve şifre çözücü olarak görev yapmaya başlar. Diğer bir deyişle oturum anahtarı, gizli/özel anahtar vazifesi görerek bu SSL oturumdaki bütün mesajları şifreler. SSL' in güvenlik gücü oturum anahtarının büyüklüğüne bağlıdır. En büyük SSL oturum anahtarı 128 bit olup sanal ticaret işlemleri için çok yüksek bir güvenlik sunar. 128 bit şifrelemenin kötü niyetle kırılması/çözülmesi hemen hemen imkansızdır. Ayrıca bir kırılma gerçekleşse bile oturum anahtarı sadece bir oturumda kullanılıp sonra imha edildiğinden dolayı, şifreyi kıran kişi başka hiç bir oturumu göremez. |