認證服務器。瀏覽器內(nèi)置一個受信任的CA機構(gòu)列表，并保存了這些CA機構(gòu)的證書。第一階段服務器會提供經(jīng)CA機構(gòu)認證頒發(fā)的服務器證書，如果認證該服務器證書的CA機構(gòu)，存在于瀏覽器的受信任CA機構(gòu)列表中，并且服務器證書中的信息與當前正在訪問的網(wǎng)站（域名等）一致，那么瀏覽器就認為服務端是可信的，并從服務器證書中取得服務器公鑰，用于后續(xù)流程。否則，瀏覽器將提示用戶，根據(jù)用戶的選擇，決定是否繼續(xù)。當然，我們可以管理這個受信任CA機構(gòu)列表，添加我們想要信任的CA機構(gòu)，或者移除我們不信任的CA機構(gòu)。

協(xié)商會話密鑰?？蛻舳嗽谡J證完服務器，獲得服務器的公鑰之后，利用該公鑰與服務器進行加密通信，協(xié)商出兩個會話密鑰，分別是用于加密客戶端往服務端發(fā)送數(shù)據(jù)的客戶端會話密鑰，用于加密服務端往客戶端發(fā)送數(shù)據(jù)的服務端會話密鑰。在已有服務器公鑰，可以加密通訊的前提下，還要協(xié)商兩個對稱密鑰的原因，是因為非對稱加密相對復雜度更高，在數(shù)據(jù)傳輸過程中，使用對稱加密，可以節(jié)省計算資源。另外，會話密鑰是隨機生成，每次協(xié)商都會有不一樣的結(jié)果，所以安全性也比較高。

加密通訊。此時客戶端服務器雙方都有了本次通訊的會話密鑰，之后傳輸?shù)乃蠬ttp數(shù)據(jù)，都通過會話密鑰加密。這樣網(wǎng)路上的其它用戶，將很難竊取和篡改客戶端和服務端之間傳輸?shù)臄?shù)據(jù)，從而保證了數(shù)據(jù)的私密性和完整性。