Hay varias posibilidades a la hora de cifrar transferencias de datos. Normalmente se necesita una clave para el cifrado, que también servirá para que el mensaje vuelva a ser legible. Este método no resulta muy práctico en Internet, donde los usuarios se ponen en contacto con personas u organizaciones con las que nunca antes han tenido comunicación más allá de Internet. Por ello, no existe posibilidad alguna de entregar una clave sin enviarla primero sin cifrar a través del medio público disponible, de ahí que los certificados SSL utilicen otro procedimiento.
En una infraestructura de clave pública(PKI) no se crea una sola clave, sino dos: una completamente pública y una privada. Los mensajes se cifran con la clave pública (public key) y solo pueden descifrarse con la clave privada (private key). La clave pública es aquella que recibe el navegador a través del certificado y la que utiliza para el cifrado. A la hora de codificar los datos hay diferentes métodos y, para ello, el servidor web entrega al navegador la información que necesita por medio del certificado.
Uno de los métodos más utilizados actualmente para la codificación es, por ejemplo, AES(Advanced Encryption Standard) con la función hash criptográfica SHA256. Sin embargo, dado que tanto los ciberdelincuentes como los expertos en criptografía se dedican a detectar los puntos débiles de los mecanismos de cifrado, los estándares cambian regularmente. Un método que hasta el año pasado resultaba infalible, puede que mañana sea descifrado y ya no se considere seguro.