Öyle bir soruki temelden anlatmadan kafanız karışır. Kısaca siz sunucuya ben seninle güvenli iletişim kurmak istiyorum dersiniz. Sunucu size PGP public keyini gönderir. Siz HTTP Header isteğini bu keyle kriptolarsınız. Tabi browser bu keyin sağlam ve güvenilir olduğunu teyit etmek zorundadır ki SSL belgesi dediğimiz şey bu sertifikadır. Size bu CA gelir browser evet bu sunucunun sertifikası, yoldaki 3. şahıs bunu değiştirmemiş der. Kriptoladığınız veri paketini sunucuya gönderirsiniz. Bu veri paketinde sizin rastgele oluşturduğunuz bir PGP public key bulunur. Sunucu private keyini kullanarak paketi açar ve HTTP Response verisini yani istek cevabını sizin gönderdiğiniz pub key ile şifreler. Sunucunun gönderdiği kriptolu paket size gelir. Siz private keyiniz ile bu paketi açarsınız.

Sunucu ile bağlantınızı koparana dek bu döngü devam eder. Yani SSL sertifikası sunucunun PGP keyinin tahrif ve tahrip edilmediğiniz doğrulayan, sunucu ile bu key yardımıyla iletişim kurabileceğinizi söyleyen bir anahtardır. Temel anlamda oluşturmak için güvenilir bir dizin olduğunuzu yani sizdeki sertifikaların tahrif ve tahrip edilemez olduğunu ispatlamanız gerekir. Gerisi PGP key.

Tabi bu çok çok çok temel bir anlatım. Konu hakkında wiki makalelerinin olması lazım. Okumanızı tavsiye ederim. İnternetin nasıl çalıştığını ve temel kripto terimlerini biliyorsanız ScienceDirect üzerinden bu konuda yazılmış pek çok güzel araştırmaya ulaşabilirsiniz, tabi İngilizce olduğunu söylemeliyim.