Inhaltsverzeichnis
Bei dem Begriff SSL handelt es sich um eine Abkürzung der Bezeichnung Secure Sockets Layer. Dieser beschreibt ein kryptografisch basiertes Sicherheitsprotokoll, welches für eine sichere Internetkommunikation zuständig ist. Das SSL-Protokoll wurde 1995 entwickelt, wurde aber einige Jahre später bereits vom heute genutzten TLS-Protokoll abgelöst. Dennoch wird auch das aktuelle TLS-Sicherheitsprotokoll noch heute vom Großteil der Menschen als SSL bezeichnet.
Im Grunde stellt SSL ein sicheres Verbindungsstück für zwei Computer dar, wenn diese im Internet oder im eigenen Netzwerk miteinander arbeiten. Primär wird SSL heute jedoch vor allem für eine verschlüsselte Datenübertragung auf Webseiten genutzt. Das SSL-Protokoll kommt dann zum Zug, wenn sich ein Webbrowser mit einem Webserver verbindet. Das Protokoll-Präfix an erster Stelle der URL ändert sich dann von HTTP zu HTTPS, wobei das hinzugefügte S für Secure steht.
Eine gesicherte HTTPS-Verbindung kann nur dann abgerufen werden, wenn der Webserver über ein SSL-Zertifikat verfügt. Wenn das der Fall ist, beginnt der Browser beim Aufrufen des Servers mit dem sogenannten SSL-Handshake. Dabei handelt es sich um einen Authentifizierungsprozess, bei dem sich der Server gegenüber dem Browser identifizieren muss. Das tut er mithilfe seines Zertifikats. Hält der Browser das Zertifikat für gültig, schickt er dem Server eine Nachricht mit einer zufälligen Zahl. Diese ist durch das SSL-Zertifikat gesichert. In einem komplexen mathematischen Verfahren wird anschließend ein Schlüssel berechnet, um eine verschlüsselte Kommunikationsverbindung herzustellen. Damit die Datenintegrität gewährleistet werden kann, wird vonseiten des Servers zudem eine signierte Bestätigung geschickt. Eine mögliche Manipulation der Daten wird somit verhindert.
Bei der eigentlichen Nutzung der aufgerufenen Webseite bemerkt man SSL nicht, da es sich um ein unsichtbares Sicherheitsprotokoll handelt. Da der sichere Verbindungsaufbau zwischen Browser und Server automatisch vonstattengeht, bekommt man als Endnutzer nichts davon mit. Eine verschlüsselte Datenverbindung macht sich visuell jedoch z.B. bei einer Website sichtbar. Vor der URL ist dann ein verschlossenes Schloss Symbol zu sehen.
Verfügt der Server nicht über ein SSL-Zertifikat, wird eine Verbindung über HTTP aufgebaut. Die Verbindung gilt dann nicht als sicher, da die Daten nicht verschlüsselt werden. Auch das Fehlen des Zertifikats ist am Bereich vor der URL zu erkennen.
Eine verschlüsselte und gesicherte HTTPS-Verbindung kann nur dann abgerufen werden, wenn der Webserver über ein SSL-Zertifikat verfügt. Das Zertifikat beweist dem Browser durch die Authentifizierung, dass der Webserver vertrauenswürdig ist. Das SSL-Zertifikat kann sozusagen wie ein Ausweisdokument des Servers betrachtet werden. Dieses Zertifikat wird automatisch auf der Webseite gespeichert und immer dann abgerufen, wenn ein Browser zugreifen möchte.
Das SSL-Zertifikat beinhaltet einen öffentlichen und einen privaten Schlüssel. Wenn ein Browser eine Verbindung mit dem Server herstellen möchte, nutzt er diesen Schlüssel um anschließend den SSL-Handshake durchzuführen. Hierdurch entsteht dann eine verschlüsselte Verbindung. Der private Schlüssel ist geheim und ist für das Signieren der sicheren Datenverbindung zuständig. Die SSL-Zertifikate werden von Zertifizierungsstellen ausgestellt.
Heute besitzt jede seriöse Webseite ein SSL-Zertifikat. Das liegt daran, dass hierdurch die volle Informationssicherheit für den Nutzer gewährleistet werden kann. Diese Informationssicherheit setzt sich aus drei primären Punkten zusammen:
Aufgrund der praktischen Effizienz des SSL-Protokolls, ist das Zertifikat in zahlreichen Bereichen mittlerweile nicht mehr wegzudenken. Besonders bei Online-Shops und Online-Banking spielt das Zertifikat eine wichtige Rolle. Es sichert Transaktionen von Kredit- und EC-Karten und die Übertragung von sensiblen Anmelde-Daten. Auch Mail-,FTP- oder interne Server sind nur durch das ein SSL-Zertifikat sicher nutzbar.
Wenn heute von SSL die Rede ist, handelt es sich dabei für gewöhnlich um TLS. Die Transport Layer Security (TLS) wurde vier Jahre nach der Gründung des SSL ins Leben gerufen. Es stellt den Nachfolger von SSL dar, wurde aufgrund eines Herstellerwechsels jedoch umbenannt. Im Grunde unterscheidet sich die letzte SSL-Version kaum von der ersten TLS-Version. Aus diesem Grund wird TLS von dem meisten Menschen noch immer als SSL bezeichnet. Natürlich wurde TLS im Laufe der Jahre immer weiter entwickelt, um die Sicherheitslücken von SSL zu schließen.