L'operazione eseguita è simile all'autenticazione del server con le seguenti differenze.
Dopo aver inviato il messaggio ServerKeyExchange, il server indica al client che desidera autenticare il client tramite un messaggio CertificateRequest; il client quindi invia il suo certificato. L'operazione di handshake TLS viene eseguita normalmente ma dopo aver inviato il messaggio ClientKeyExchange, il client invia un messaggio CertificateVerify che contiene una firma dei precedenti messaggi di handshake. Server e client calcolano quindi un valore dai numeri casuali scambiati e PreMasterSecret e il client invia quindi ChangeCipherSpec e l'operazione continua come senza autenticazione client.
Come puoi vedere il server controlla se il client è in possesso della chiave privata; non solo che si fida del cliente cert.