L'algoritmo di scambio delle chiavi viene utilizzato per calcolare il "master secret", solitamente mediante il calcolo di un'altra chiave nota come "pre-master secret" che viene poi espansa nell'effettivo "master secret" con il PRF. DHE utilizza Diffie-Hellman come algoritmo di scambio di chiavi; ECDHE usa una variante di Diffie-Hellman che coinvolge una curva ellittica.
In entrambi i casi, il server deve inviare i "parametri DH" (la definizione del gruppo in cui verrà eseguito il Diffie-Hellman - nel caso di ECDH o ECDHE, quel gruppo è una curva ellittica) e il suo "Chiave pubblica DH" (metà del server dello scambio di chiavi DH). Quando si utilizzano suite di crittografia DH o ECDH, queste informazioni (definizione di gruppo e chiave pubblica del server) fanno parte del certificato del server; quando si utilizzano le suite di crittografia DHE o ECDHE, non fanno parte del certificato del server e vengono invece inviati come messaggio di ServerKeyExchange autonomo.
In pratica, DH e ECDH sono usati molto raramente, perché i certificati con chiavi DH o ECDH sono una rarità. Invece, vengono usati DHE e ECDHE.
Leggi altre domande sui tag tls diffie-hellman ecc