Der normale Web-Datenverkehr verläuft unverschlüsselt über das Internet. Das heißt, dass jeder der Zugriff auf die richtigen Tools hat, kann in den Daten herumschnüffln. Offensichtlich kann dies zu Problemen führen, insbesondere dort, wo Sicherheit und Vertraulichkeit erforderlich sind, wie in Kreditkarten-Datenbanken und Bank-Transaktionen. Der Secure Socket Layer wird verwendet, um den Datenstrom zwischen dem Web-Server und dem Web-Client (Browser) zu verschlüsseln.
Mit dem öffentlichen Kryptografie Schlüsseln, werden zwei Schlüssel erstellt, eine öffentliche und eine private. Alles, was mit diesem Schlüssel verschlüsselt wurde, kann nur mit dem entsprechenden Schlüssel wieder entschlüsselt werden.
Wenn SSL Public-Key-Kryptographie nutzt, um den Datenstrom über das Internet zu verschlüsseln, warum ist dann ein Zertifikat notwendig? Die technische Antwort auf diese Frage ist, dass ein Zertifikat nicht wirklich nötig ist – die Daten sind sicher und können nicht einfach durch einen Dritten entschlüsselt werden. Allerdings spielen Zertifikate eine entscheidende Rolle in der Kommunikation. Das Zertifikat, das von einer vertrauenswürdigen Certificate Authority (CA) unterzeichnet wurde, stellt sicher, dass der Zertifikatsinhaber wirklich der ist den er sich ausgibt. Ohne ein vertrauenswürdiges Zertifikat, können Ihre Daten zwar verschlüsselt werden, jedoch kann es sein, dass die Partei mit der Sie kommunizieren nicht der/die ist wie Sie denken. Ohne Zertifikate wären Impersonalisierungsattacken viel häufiger.