La magia que evita que un atacante descifre todos los datos de esta manera se llama "criptografía asimétrica". Debido a que la clave de cifrado y la clave de descifrado no tienen que ser las mismas, es posible enviar una de ellas a la vista, lo que permite a todos cifrar los mensajes futuros y conservar la capacidad exclusiva de descifrarlos (la otra, privada, llave de la pareja). Esas claves son diferentes (recién generadas) en cada sesión SSL.
Se vuelve más complicado cuando el atacante está dispuesto a enviar activamente claves "falsas", engañando a otros para que las usen. Por lo tanto, el otro tema sobre el que puede querer leer es "infraestructura de clave pública" Esto proporciona un nivel de confianza inicial basado en la comunicación previa entre bambalinas, entre partes tales como las autoridades de certificación, el operador del servidor, el fabricante del hardware y los proveedores de sistemas operativos. Ya antes de que se transmita el primer paquete dentro de la cafetería, todos tienen varios certificados, llaves y contactos con amigos de confianza mutua, lo que resultará útil para autenticar a la otra parte por lo que dicen que es.
SSL puede autenticar tanto servidores como clientes, pero como el servidor tiene más control sobre la clave de la sesión y también sobre la lógica empresarial de la interacción, es común no molestarse en autenticar a los clientes.
Ocasionalmente puede encontrarse en escenarios donde las suposiciones normales se descomponen. Errores lógicos en protocolos, CA incompenentes, interferencia del gobierno, Hardware comprometido de fábrica , las claves que se han filtrado sin que nadie lo note, y los generadores de claves aleatorias que son mucho menos aleatorios de lo que le gustaría. Para la gran mayoría de esos hoyos, la privacidad en la cafetería solo está en riesgo si el atacante interfiere activamente y ayuda a dirigir la conversación hacia el hoyo de alguna manera.