El algoritmo de intercambio de clave se usa para calcular el "secreto maestro", generalmente mediante la computación de otra clave conocida como el "secreto maestro previo", que luego se expande en el "secreto maestro" real con el PRF. DHE utiliza Diffie-Hellman como algoritmo de intercambio de claves; ECDHE utiliza una variante de Diffie-Hellman que implica una curva elíptica.
En ambos casos, el servidor debe enviar los "parámetros DH" (la definición del grupo en el que se realizará el Diffie-Hellman, en el caso de ECDH o ECDHE, ese grupo es una curva elíptica) y su "DH clave pública" (la mitad del servidor del intercambio de claves DH). Cuando se utilizan conjuntos de cifrado DH o ECDH, esta información (definición de grupo y clave pública del servidor) forma parte del certificado del servidor; cuando se usan conjuntos de cifrado DHE o ECDHE, no forman parte del certificado del servidor y, en su lugar, se envían como un mensaje ServerKeyExchange
independiente.
En la práctica, DH y ECDH se usan muy raramente, porque los certificados con claves DH o ECDH son una rareza. En su lugar, se utilizan DHE y ECDHE.