Między parą węzłów (na przykład między klientem i serwerem w komunikacji HTTP) może w danej chwili istnieć wiele bezpiecznych połączeń. Teoretycznie może między nimi istnieć także wiele otwartych sesji, lecz możliwość ta nie jest wykorzystywana w praktyce.

Każda sesja może w danej chwili znajdować się w różnych stanach. Gdy zostanie ustanowiona, znajduje się w stanie ustalonym dla odczytu i zapisu (czyli odbierania i wysyłania danych); ponadto w czasie tworzenia sesji przez podprotokół powitalny tworzony jest stan przejściowy (pending state), który po zakończeniu działania tego protokołu staje się stanem ustalonym.

Stan sesji SSL określony jest przez następujące parametry:

• identyfikator sesji - dowolny ciąg bajtów wybrany przez serwer do identyfikowania stanu sesji;
• certyfikat partnera - zgodny ze standardem X509.v3, parametr ten może pozostać pusty;
• metodę kompresji - algorytm wykorzystywany do kompresowania danych przed ich szyfrowaniem;
• specyfikację szyfru - określenie algorytmu kompresji (opcjonalne, na przykład AES), algorytmu haszowania wykorzystywanego do obliczenia kodu MAC (np. MDS lub SHA- 1 ) oraz atrybutów kryptograficznych, m.in. hash_size;
• tajny kod główny - ciąg 48 bajtów współdzielony przez klienta i serwer i nieznany nikomu innemu;
• znacznik wznawiania- określający, czy w ramach sesji mogą być tworzone nowe połączenia.

Poniższe parametry składają się natomiast na stan połączenia:

• unikalny ciąg losowy - wybierany przez klienta i serwer niezależnie dla każdego połączenia;
• tajny parametr MAC dla serwera - wartość parametru MAC_write_secret używana w operacjach MAC dla danych wysyłanych przez serwer;
• tajny parametr MAC dla klienta - wartość parametru MAC_write_secret używana w operacjach MAC dla danych wysyłanych przez klienta;
• klucz serwerowy - klucz szyfrowania symetrycznego, za pomocą którego serwer szyfruje wysyłane dane, a klient odszyfrowuje je po otrzymaniu;
• klucz kliencki - klucz szyfrowania symetrycznego, za pomocą którego klient szyfruje wysyłane dane, a serwer odszyfrowuje je po otrzymaniu;
• wektory inicjacyjne - gdy wykorzystywany jest tryb operacyjny CBC szyfru blokowego, dla każdego klucza utrzymywana jest wartość wektora inicjacyjnego (IV) - wartość ta inicjowana jest przez podprotokół powitalny, po czym ostatni blok szyfrogramu dla każdego rekordu zapamiętywany jest jako wartość IV dla szyfrowania rekordu następnego;
• numery sekwencyjne - każdy z partnerów komunikacji utrzymuje oddzielną pulę numerów sekwencyjnych dla wysyłanych i otrzymywanych komunikatów. Gdy któryś z partnerów wysyła lub otrzymuje komunikat zmiany szyfru, powinien zresetować do zera aktualną wartość numeru sekwencyjnego. Numery sekwencyjne są 64-bitowymi liczbami całkowitymi, maksymalna wartość numeru wynosi więc 2⁶⁴ - 1.

Podprotokół rekordu oferuje dwie następujące usługi dla podprotokołów w wyższej podwarstwie:

• Poufność - podprotokół powitalny definiuje współdzielony tajny klucz używany do konwencjonalnego szyfrowania treści przesyłanych w ramach protokołu SSL.
• Ochronę integralności - podprotokół powitalny definiuje także współdzielony tajny klucz wykorzystywany do obliczania kodów MAC dla przesyłanych komunikatów.

Poszczególne etapy funkcjonowania podprotokołu rekordu przedstawiono na rysunku u dołu ⇓. Otrzymany od aplikacji komunikat przeznaczony do wysłania jest najpierw fragmentowany, czyli dzielony na mniejsze bloki łatwiejsze w zarządzaniu. Potem dla każdej jednostki danych wykonywane są: kompresja (która jednak jest opcjonalna), uwierzytelnienie za pomocą kodu MAC, zaszyfrowanie, opatrzenie nagłówkiem i wysłanie. Odebrany pakiet jest poddawany procesowi odwrotnemu: deszyfracji, zweryfikowaniu kodu MAC i dekompresji i ostatecznie poszczególne jednostki składane są na powrót w kompletny komunikat (który dostarczony zostaje aplikacji docelowej).

Dane aplikacji
			⇓	⇓	⇓
Fragmentacja
			⇓
Kompresja
			⇓
Dołączenie kodu MAC
			⇓
Szyfrowanie
			⇓
Dołączenie nagłówka SSL