...
- De webbrowser stuurt een verzoek naar een webserver. Hierbij wordt binnen MedMij verplicht gebruikgemaakt van HTTPS. In dit verzoek vraagt de webbrowser de server om zich te identificeren.
- De server stuurt een kopie van zijn certificaat (en de bijbehorende intermediate certificaten van certifcaatuitgever), inclusief de publieke sleutel (public key) waar de webbrowser gebruik van kan maken.
- De webbrowser controleert het certificaat op betrouwbaarheid en of het niet verlopen of ingetrokken is. Als de identiteit van de server door de webbrowser vertrouwd wordt, maakt de browser een code, dit wordt ook wel de symmetric session key genoemd. Deze code geldt alleen voor de lopende sessie en wordt voor de beveiliging van de communicatie gebruikt. De code wordt door de webbrowser versleuteld. Hiervoor gebruikt de webbrowser de publieke sleutel die de server in stap 2 stuurde. De versleutelde code wordt naar de server gestuurd.
- De server heeft een geheime unieke sleutel (private key), behorende bij de publieke sleutel, waarmee de server kan controleren of de code op de juiste manier versleuteld is. Als dit het geval is, stuurt de server een ontvangstbevestiging naar de webbrowser, waarbij dit bericht wordt versleuteld met de code die de server van de webbrowser ontving.
- Vanaf dit moment is de verbinding tussen webbrowser en server beveiligd en worden alle berichten versleuteld met de code.
...