Secure Sockets Layer (SSL) ist ein von Netscape entwickeltes Protokoll zur Bereitstellung einer sicheren Verbindung zwischen zwei oder mehr Geräten über das Internet. SSL verwendet ein kryptografisches System, das zwei Schlüssel zum Verschlüsseln von Daten verwendet, einen öffentlichen Schlüssel, der allen bekannt ist, und einen privaten oder geheimen Schlüssel, der nur dem Empfänger der Nachricht bekannt ist. Die meisten Webbrowser unterstützen SSL, und viele Websites verwenden das Protokoll, um vertrauliche Benutzerinformationen einschließlich Kreditkartennummern zu erhalten. Konventionell beginnen URLs, die eine SSL-Verbindung erfordern, mit https anstelle von http.
Dies soll nicht bedeuten, dass SSL und S-HTTP identische Protokolle sind, sondern nur, dass beide eng miteinander verbunden sind und vom https-Label leicht erkannt werden. Während SSL eine sichere Verbindung zwischen einem Client und einem Server herstellt, über die jede Datenmenge sicher gesendet werden kann, ist S-HTTP so konzipiert, dass einzelne Nachrichten sicher übertragen werden. SSL und S-HTTP können daher eher als komplementäre als als konkurrierende Technologien angesehen werden. Beide Protokolle wurden von der Internet Engineering Task Force (IETF) als Standards genehmigt.
Wie funktioniert SSL?
SSL implementiert einen dreistufigen Handshake, der über einer TCP-Verbindung liegt:
- Wenn ein Webbrowser versucht, über SSL eine Verbindung zu einer Website herzustellen, fordert der Browser zunächst den Webserver auf, sich selbst zu identifizieren. Dadurch wird der Webserver aufgefordert, dem Browser eine Kopie des SSL-Zertifikats zu senden.
- Der Browser prüft, ob das SSL-Zertifikat vertrauenswürdig ist, und sendet eine Bestätigungsnachricht an den Webserver.
- Der Server antwortet dem Browser dann mit einer digital signierten Bestätigung, um eine SSL-verschlüsselte Sitzung zu starten. Auf diese Weise können verschlüsselte Daten zwischen dem Browser und dem Server geteilt werden, wie durch das https-Label anstelle von http gekennzeichnet.
SSL vs. TSL
Secure Sockets Layer (SSL) ist der Vorgänger von Transport Layer Security (TLS). Im Jahr 2014 wurde die Version 3.0 von SSL aufgrund von POODLE-Angriffen (Padding Oracle On Downgraded Legacy Encryption) als anfällig eingestuft, mit denen sichere HTTP-Cookies oder HTTP-Autorisierungsheaderinhalte aus herabgestufter Kommunikation gestohlen werden konnten. Heute gilt SSL 3.0 als veraltet und wurde von Transport Layer Security (TLS) abgelöst, ist aber immer noch weit verbreitet. TLS verfeinert den Handshake-Prozess von SSL und verbessert einige der Sicherheitslücken, um ein zuverlässigeres Protokoll zu erstellen. TSL-Zertifikate werden manchmal fälschlicherweise als SSL-Zertifikate bezeichnet, aber das SSL-Protokoll wurde selten verwendet, da es 2015 offiziell veraltet war.