SSL steht für Secure Socket Layer (deutsch "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security entwickelt. Das SSL-Protokoll gewährleistet, dass Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher. Neben dem Netscape Navigator unterstützten aber auch der Internet Explorer von Microsoft und andere Browser SSL.

Das SSL-Protokoll wird dadurch initiiert, dass dem bekannten http ein s (=secure, dt. sicher) in der URL der Verbindung angehängt wird. Dann lautet die Internetadresse zum Beispiel: https://www.bva.bund.de . Bei jedem Aufruf einer https-Seite, prüft Ihr Browser, ob der Anbieter der Internetseite ein gültiges SSL-Zertifikat hat. Hat er das nicht, dann warnt Sie Ihr Browser mit einer Nachricht: "Diese Web Site kann leider nicht als sicher verifiziert werden. Wollen Sie wirklich weitermachen?"

Screenshot Sicherheitshinweis

Bei einer solchen Warnung Ihres Browsers sollten Sie sich in jeden Fall überlegen, ob Sie auf den Seiten dieses Anbieters weitersurfen wollen, da dessen Zertifikat entweder unbekannt oder abgelaufen ist.

Technisch funktioniert SSL wie folgt:

Am "https" erkennt Ihr Browser, dass er vom angesprochenen Server ein Zertifikat anfordern soll. Damit der Server dem Browser ein Zertifikat überhaupt zurückschicken kann, muss er sein Zertifikat von der Zertifizierungsstelle erhalten. Anschließend meldet der Server dieses Zertifikat direkt an den Browser zurück. Der Browser erhält dann vom Verzeichnisdienst der Zertifizierungsstelle die Information, ob das Zertifikat noch gültig ist. Anhand dieser übermittelten Daten kann der Browser nun überprüfen, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, signalisiert Ihnen Ihr Browser eine sichere Verbindung. Beim Internet Explorer und beim Firefox geschieht dies durch ein geschlossenes Vorhängeschloss.

Anschließend verständigen sich die beiden Rechner auf einen symmetrischen Schlüssel. Diese Verständigung passiert in der sicheren asymmetrischen Verschlüsselung. Um wirklich auf Nummer sicher zu gehen, schickt Ihr Browser dem Server vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten. Diese kann der Server nur beantworten, wenn es wirklich der Server ist, der er zu sein vorgibt.

Betrachtet man noch einmal die drei Ziele der Verschlüsselung: bewirkt das SSL-Protokoll damit eine sichere Verbindung:

• Ihre Daten sind vertraulich, weil der Inhalt Ihrer Nachrichten nur verschlüsselt über das Netz geht
• Die Authentizität des Servers steht fest
• Ihre Daten sind vor Manipulation geschützt, da wirkungsvolle Algorithmen prüfen, ob die Daten vollständig und unverändert ihren jeweiligen Empfänger erreichen

Inzwischen hat sich SSL als Standard für die Browserverschlüsselung etabliert. Mittlerweile wird aber auch schon Transport Layer Security (TLS) verwendet. TLS ist als Nachfolger von SSL 3.0 standardisiert und erweitert die Palette der einsetzbaren Verschlüsselungsverfahren um den Advanced Encryption Standard (AES). TLS basiert auf dem noch komplizierteren Verschlüsselungsverfahren Triple-DES (Data Encryption Standard – Datenverschlüsselungs-Standard) oder anderen Algorithmen. Es unterstützt die Verschlüsselung von E-Mails und den Identitätsnachweis für kommerzielle Online-Transaktionen.

Quelle: BSI (Bundesamt für Sicherheit in der Informationstechnik)