Así es como funciona en pocas palabras:
1) El cliente se conecta al servidor. El servidor anuncia los protocolos SSL / TLS que admite y envía su certificado SSL al cliente. El certificado incluye una clave pública RSA, y el certificado está (probablemente) firmado por una CA reconocida
que el cliente confía.
2) El cliente verifica la firma de CA del certificado y (probablemente) confía en que el certificado es válido. El cliente y el servidor aceptan utilizar ECDHE.
3) El cliente y el servidor generan un conjunto de claves ECDHE efímeras que se utilizan para facilitar la sesión segura. Las claves enviadas por el servidor al cliente están firmadas por el servidor utilizando la clave privada del servidor (que corresponde a la clave pública que se envió anteriormente como parte del certificado en el paso 1 anterior). El cliente valida que la firma es válida usando la clave pública del servidor recibida previamente (que previamente se determinó como confiable). Por lo tanto, el cliente puede confiar en que las claves efímeras que recibió del servidor fueron enviadas desde el servidor, y no desde un atacante de hombre en el medio.
4) El cliente y el servidor continúan con la sesión segura utilizando el conjunto de claves efímeras. Estas claves son descartadas tanto por el cliente como por el servidor al final de la sesión (y no se reutilizan) para facilitar el perfecto secreto hacia adelante.