SSL ACE-Technik

SSL ist die Abkürzung für Secure Sockets Layer, was im Deutschen so viel bedeutet wie „sichere Sockelschicht“. Entwickelt von den Firmen Netscape und RSA Data Security soll das SSL-Protokoll gewährleisten, dass sensible Daten beim Surfen im Internet, beispielsweise Kreditkarten-Informationen beim Online-Shopping, verschlüsselt übertragen werden.

Somit soll verhindert werden, dass Dritt-Nutzer die Daten bei der Übertragung auslesen oder manipulieren können. Zudem stellt dieses Verschlüsselungsverfahren die Identität einer Website sicher. Die meisten Browser wie der Netscape Navigator oder der Microsoft Internet Explorer unterstützen die SSL-Verschlüsselung.

Ausgelöst wird das SSL-Protokoll dann, wenn dem allseits bekannten HTTP ein „s“ für „secure“, also „sicher“, angefügt wird. Bei jedem Aufruf einer solchen HTTPS-Seite überprüft der Browser nun, ob der Webseitenbetreiber ein gültiges SSL-Zertifikat verwendet. Ist das nicht der Fall, gibt der Browser einen entsprechenden Warnhinweis und fragt den Nutzer, ob er fortfahren möchte. Gründe dafür können sein, dass das verwendete Zertifikat entweder unbekannt oder abgelaufen ist. Man sollte sich daher genau überlegen, ob man dieser Seite trauen kann.

Die Funktionsweise der SSL-Verschlüsselung ist folgende: Tippt man bei der gewünschten Internet-Adresse "https" ein, so fordert der Internet-Browser vom angesprochenen Server ein Zertifikat an. Dabei muss der Server, um das Zertifikat zurück schicken zu können, sein Zertifikat von einer Zertifizierungsstelle erhalten. Anschließend schickt er es zurück an den Browser, damit er dieses überprüfen kann. Dafür erhält er vom Verzeichnisdienst der Zertifizierungsstelle Informationen über die Gültigkeit des angeforderten Zertifikats. Anhand dieser Daten ist der Browser nun in der Lage zu prüfen, ob er auch tatsächlich mit dem entsprechenden Server verbunden ist. Bei erfolgreicher Überprüfung signalisiert der Browser dem Nutzer eine sichere Verbindung. Die meisten Browser verwenden hierfür symbolhaft ein kleines geschlossenes Vorhängeschloss, welches in der Adressleiste selbst oder am unteren rechten Rand im Browserfenster oder zu sehen ist.

Bei einem gültigen SSL-Zertifikat kommunizieren die Rechner nun über einen symmetrischen Schlüssel, der in der sicheren asymmetrischen Verschlüsselung passieren kann. Um diese Sicherheit noch zu verstärken, schickt der eigene Browser vor Beginn des eigentlichen Datentransfers einige Testnachrichten, welche vom Server nur dann beantwortet werden können, wenn er auch wirklich der Server ist, der er vorgibt zu sein.

Der große Vorteil von SSL-Protokollen ist die Unabhängigkeit zwischen Anwendungen und Systemen. Sie wird gewährleistet durch die Möglichkeit, höhere Protokolle auf Basis des SSL-Protokolls zu implementieren. Allerdings sind SSL-verschlüsselte Übertragungen sehr rechenintensiv und können daher zu einer Verlangsamung im Verbindungsaufbau auf der Serverseite führen. Je nachdem, welchen Algorithmus der Browser für die Verschlüsselung verwendet, nimmt diese nur noch wenig Rechenleistung in Anspruch.

Eine gut funktionierende SSL-Verschlüsselung zeichnet sich dadurch aus, dass die versendeten Daten absolut sicher sind. Der Inhalt verschickter Nachrichten geht nur verschlüsselt über das Netz. Zudem überprüfen wirkungsvolle Algorithmen die Daten hinsichtlich ihrer Vollständigkeit und ihres Zustands, bevor diese beim Empfänger ankommen. SSL ist mittlerweile der Standard für die Browserverschlüsselung. Daneben existieren aber noch weitere Verfahren, Daten im Internet vor dem unberechtigten Zugriff Dritter zu schützen wie zum Beispiel TLS („Transport Layer Security“). TLS ist hierbei der Nachfolger von SSL 3.0 und wird oftmals auch als SSL 3.1 bezeichnet. Es erweitert die Möglichkeiten der Verschlüsselung um den „Advanced Encryption Standard“ (AES). TLS verwendet als Basis für seine Verschlüsselung den komplizierten Triple-DES („Data Encryption Standard“ oder auch „Datenverschlüsselungsstandard“) und andere Algorithmen. Damit wird nun auch die Verschlüsselung von E-Mails unterstützt und es dient auch als Identitätsnachweis für kommerzielle Transaktionen via Internet.