Prima che lo scambio di chiavi sia fatto, il cliente deve assicurarsi che stia parlando con il server corretto e non con un uomo attivo nel mezzo che potrebbe dividere la connessione TLS in una tra client e attaccante e un'altra tra attaccante e server. Per autenticare il server, il client utilizza il contenuto del certificato fornito dal server, ovvero i nomi alternativi soggetto e oggetto per convalidare il nome del server, l'ora di inizio e di fine per verificare l'ora di vita e la firma per verificare la catena di fiducia in la CA radice integrata.
La firma dell'emittente del certificato deve essere verificata durante la creazione della catena di fiducia che viene eseguita utilizzando la chiave pubblica conosciuta del certificato CA dell'emittente. Inoltre, è necessario verificare che il server sia effettivamente il proprietario del certificato, cioè conosce la chiave privata che solo il proprietario dovrebbe conoscere. Questo viene fatto essenzialmente dal client che fornisce input a una sfida che viene quindi firmata dal server con la chiave privata. Questa firma può quindi essere convalidata dal client utilizzando la chiave pubblica contenuta nel certificato e quindi la proprietà del certificato viene verificata. Se l'autenticazione client viene eseguita utilizzando i certificati, viene eseguito un processo simile per la convalida del certificato client.