Die Verschlüsselungsstärke ist abhängig davon, auf welche Algorithmen sich der WAP Server und der WAP Client verständigen. Client und Server vereinbaren den Session Key unter Einsatz asymmetrischer Verschlüsselung, wobei der Session Key selbst ein symmetrischer Verschlüsselungsalgorithmus ist.
Vor Einleitung einer verschlüsselten Verbindung zeigt der WAP Server beim sog. WTLS Handshake an, welche Algorithmen er verwenden kann. Diese werden vom Client geprüft und beide einigen sich auf den höchst möglichen Sicherheits-Level. Ausschlaggebend ist - in der Regel -, welchen höchsten Level der WAP Client unterstützt.
Es wird empfohlen, keine asymmetrischen Schlüssel mit weniger als 1024 Bit zu verwenden. Beispielsweise unterstützt der Nokia WAP Server den Algorithmus RSA, der auch längere Schlüssel generieren kann.
Die symmetrischen Schlüssel haben eine Länge von 56 oder mehr Bit. Je länger der Schlüssel, desto stärker und somit sicherer ist die Verschlüsselung.
Als sicher anerkannt sind heute Schlüssellängen von 128 Bit symmetrisch und 1024 Bit asymmetrisch.
Zudem gibt es das Merkmal "Key Refresh", durch welches sich WAP Server und WAP Client während einer verschlüsselten Verbindung auf neue Algorithmen einigen können