SSL oder Secure Sockets Layer ist ein verschlüsselungsbasiertes Internet-Sicherheitsprotokoll. Es wurde erstmals 1995 von Netscape entwickelt, um Datenschutz, Authentifizierung und Datenintegrität in der Internetkommunikation zu gewährleisten. SSL ist der Vorgänger der heute verwendeten modernen TLS-Verschlüsselung.
Bei einer Website, die SSL/TLS implementiert, enthält die URL „HTTPS“ anstelle von „HTTP“.
Wie funktioniert SSL/TLS?
- Um ein hohes Mass an Datenschutz zu gewährleisten, werden über das Web übertragene Daten mit SSL verschlüsselt. Dies bedeutet, dass jeder, der versucht, diese Daten abzufangen, nur eine unkenntliche, kaum zu entschlüsselnde Zeichenfolge sieht.
- SSL leitet einen Authentifizierungsprozess zwischen zwei kommunizierenden Geräten ein, der als Handshake bezeichnet wird. Beim Handshake wird überprüft, ob beide Geräte wirklich die sind, für die sie sich ausgeben.
- Bei SSL werden Daten ausserdem digital signiert, um die Datenintegrität zu gewährleisten. So können die Daten nicht manipuliert werden, bevor sie ihren beabsichtigten Empfänger erreichen.
Es gab mehrere SSL-Iterationen, von denen jede sicherer ist als die vorangegangene. 1999 wurde SSL auf TLS aktualisiert.
Warum ist SSL/TLS wichtig?
Ursprünglich wurden Daten im Web im Klartext übertragen. Jeder, der die Nachricht abfing, konnte sie lesen. Wenn ein Verbraucher eine Bestellung in einem Onlineshop aufgab und seine Kreditkartennummer eintippte, reiste diese Kreditkartennummer unverdeckt durch das Internet.
SSL wurde entwickelt, um dieses Problem zu lösen und die Privatsphäre der Nutzer zu schützen. Es verschlüsselt alle Daten, die zwischen dem Nutzer und dem Webserver ausgetauscht werden. Wenn jemand diese Daten abfängt, sieht er nur ein Durcheinander an Zeichen. Die Kreditkartennummer des Verbrauchers ist jetzt sicher und nur der Onlineshop, in den sie eingegeben wurde, kann sie einsehen.
SSL blockiert auch bestimmte Arten von Cyber-Angriffen: Es authentifiziert Webserver; das ist wichtig, da Angreifer oft versuchen, Nutzer mit gefälschten Websites zu täuschen und ihre Daten zu stehlen. Es verhindert auch, dass Angreifer Daten während der Übertragung manipulieren können, ganz wie ein manipulationssicheres Siegel auf einem Medikamentenbehälter.
Sind SSL und TLS dasselbe?
SSL ist der direkte Vorgänger eines anderen Protokolls namens TLS (Transport Layer Security). 1999 schlug die Internet Engineering Task Force (IETF) eine Aktualisierung von SSL vor. Da diese Aktualisierung von der IETF ohne Beteiligung von Netscape entwickelt wurde, änderte man den Namen in TLS. Die Unterschiede zwischen der endgültigen Version von SSL (3.0) und der ersten Version von TLS sind nicht drastisch. Die Namensänderung soll eher den Eigentümerwechsel anzeigen.
Da sie so eng miteinander verbunden sind, werden die beiden Begriffe häufig synonym verwendet und miteinander verwechselt. Einige Leute sagen immer noch SSL und meinen damit TLS, wir verwenden den Begriff „SSL/TLS-Verschlüsselung“, weil der Name SSL immer noch so gut bekannt ist.
Was ist ein SSL-Zertifikat?
SSL kann nur von Websites implementiert werden, die über ein SSL-Zertifikat (streng genommen ein „TLS-Zertifikat“) verfügen. Ein SSL-Zertifikat ist wie ein Personalausweis oder ein Dienstausweis, die beweisen, dass jemand wirklich derjenige ist, der er vorgibt zu sein. SSL-Zertifikate werden vom Server einer Website oder Anwendung im Web gespeichert und angezeigt.