Antes de que se realice el intercambio de claves, el cliente debe asegurarse de que está hablando con el servidor correcto y no con algún hombre activo en el medio que podría dividir la conexión TLS en una entre cliente y atacante y otra entre atacante y servidor. Para autenticar el servidor, el cliente está utilizando el contenido del certificado proporcionado por el servidor, es decir, los nombres alternativos del sujeto y del sujeto para validar el nombre del servidor, la hora de inicio y finalización para verificar la vida útil y la firma para verificar la cadena de confianza para la raíz incorporada CA.
La firma del emisor del certificado debe verificarse al crear la cadena de confianza que se realiza mediante el uso de la clave pública conocida del certificado de CA de los emisores. Además, debe verificarse que el servidor sea realmente el propietario del certificado, es decir, que conozca la clave privada que solo el propietario debe conocer. Básicamente, esto lo realiza el cliente proporcionando información para un desafío que luego el servidor firma con la clave privada. Esta firma puede ser validada por el cliente utilizando la clave pública contenida en el certificado y, por lo tanto, se verifica la propiedad del certificado. Si la autenticación del cliente se realiza mediante certificados, se realiza un proceso similar para validar el certificado del cliente.