SSL/TLS

Paso 1

El cliente inicia TLS y propone cómo quiere proteger la conexión.

Cliente

Envía una propuesta: versiones y algoritmos compatibles.

Servidor

Elige una opción compatible para continuar.

Paso 2

El servidor envía su certificado, que incluye su llave pública.

Servidor

Envía certificado: identidad del dominio + llave pública.

Cliente

Recibe el certificado y con él la llave pública del servidor.

Paso 3

El cliente verifica que ese certificado sea legítimo (no es un impostor).

Cliente

Valida dominio, vigencia y firma usando llaves públicas de CA en el sistema.

CA

La CA no participa en la conexión; solo firmó el certificado previamente.

Paso 4

Se construye un secreto compartido usando la llave pública del servidor.

Cliente

Genera un secreto aleatorio y lo protege con la llave pública del servidor.

Servidor

Recibe el secreto protegido (no puede leerse en tránsito).

Paso 5

El servidor usa su llave privada para recuperar el mismo secreto.

Servidor

Usa su llave privada (que nunca sale del servidor) para obtener el secreto.

Cliente

Ya tenía ese secreto original. Ahora ambos comparten el mismo secreto.

Paso 6

Ambos calculan la llave de sesión a partir del secreto (no se envía por la red).

Cliente

Deriva llave de sesión con el secreto y datos del handshake.

Servidor

Hace el mismo cálculo y obtiene la misma llave de sesión.

Paso 7

Con la llave de sesión, todo se cifra y se descifra durante la comunicación.

Cliente

Cifra lo que sale y descifra lo que entra usando la llave de sesión.

Servidor

Verifica integridad y descifra/cifra con la misma llave de sesión.