SSL ist die Abkürzung für Secure Sockets Layer und steht damit für die Sicherheit der Daten der Internetnutzer. Die Bezeichnung SSL ist eine veraltete Bezeichnung für ein Verschlüsselungssystem bei der Datenübertragung, die gängige Variante nennt sich TLS und steht für Transport Layer Security. Dennoch wird im Volksmund generell noch die Bezeichnung SSL hierfür verwendet, da sie momentan noch den größeren Bekanntheitsgrad besitzt. Die Übertragung von Daten im Internet kann in verschiedenen Formen erfolgen, wie zum Beispiel das Übermitteln von Adress- und Kontodaten bei einem Einkauf im Internet oder auch bereits die Eingabe von einem Passwort in einen speziellen Kundenbereich. Durch eine durch SSL geschützte Verbindung wird ein Verschlüsselungsprotokoll beim Übertragen der Daten ermöglicht, durch welches keine unbefugte Person Zugriff auf die zu übermittelnden Daten hat. Demnach stellt das SSL beziehungsweise die neuere Version des TLS eine sehr wichtige Möglichkeit dar, die den Internetnutzer und seine empfindlichen Daten schützt. Daneben wird eine sichere Verbindung per SSL auch beim alleinigen Besuch von Webseiten verwendet, da hierdurch keine unbefugte Person die gesendeten Daten der Internetseite einsehen kann und somit ein sicheres Surfen im Internet möglich wird.
Von SSL zur neuen Version TLS
Bereits zu den Anfangszeiten des Internets war es nur eine logische Schlussfolgerung, dass ein spezielles Sicherheitssystem zum Schutz der Nutzer entwickelt werden musste. Das Unternehmen Netscape Communications brachte im Jahr 1994 die erste Version von SSL auf den Markt, welche als SSL 1.0 bezeichnet wurde und bereits im selben Jahr noch durch die neue Version SSL 2.0 ersetzt wurde. Ein Jahr darauf erhielt der bis dahin gängige Webbrowser Mosaic durch den Internet Explorer von Microsoft eine ernsthafte Konkurrenz, welcher dann als Gegenstück zum SSL das so genannte PCT 1.0 (Private Communication Technology) verwendete. Dieses Verschlüsselungssystem wies einige Vorteile gegenüber dem SSL 2.0 auf, die jedoch durch die bald folgende Version SSL 3.0 wieder auf Gleichstand gebracht wurden.
Die Internet Engineering Task Force (kurz IETF) beschloss als Arbeitsgruppe für die Internettechnik kurz darauf, dass SSL als Standard-Verschlüsselungssystem verwendet werden sollte. Im Jahr 1999 folgte dann die Umbenennung von SSL zu TLS, wobei die Version 3.0 von SSL fast identisch mit der Version 1.0 von TLS ist. Auch das Verschlüsselungssystem TLS wird stetig verbessert und ist in neueren Versionen auf dem Markt – seit August 2008 ist die allgemein übliche Version 1.2 von TLS entwickelt worden, welche allerdings weiterhin von vielen Nutzern noch als SSL bezeichnet wird.
Die Funktionsweise der Verschlüsselung mittels SSL
Das Verschlüsselungsprotokoll durch SSL ist für verschiedene Anwendungen im Internet möglich, wie zum Beispiel dem Webbrowser, dem Versand von Emails sowie auch dem Empfang von Emails. An die Standardbezeichnung der jeweiligen Anwendung wird durch die Verschlüsselung mittels SSL noch ein S angehängt – so wird aus der HTTP-Bezeichnung für den Webbrowser mit SSL HTTPS, aus der SMTP-Bezeichnung für den Versand von Emails mit SSL SMTPS und für die POP3S-Bezeichnung für den Empfang von Emails mit SSL POP3SS. Durch das Anhängen des S wird die SSL-Verschlüsselung initiiert, wodurch beispielsweise der Webbrowser nun vom entsprechenden Server ein Sicherheitszertifikat verlangt und auch den öffentlichen Schlüssel des Servers abfragt. Bei einem fehlendem Sicherheitszertifikat oder auch einem abgelaufenem Sicherheitszertifikat würde nun eine Warnung an den Internetnutzer gesendet werden, woraufhin dieser selbst entscheiden kann, ob er einen Datenaustausch mit der dementsprechend unsicheren Verbindung durchführen möchte. Empfehlenswert ist es bei einer solchen Sicherheitswarnung immer, dass dieser Verbindung nicht getraut wird und die entsprechende Seite nicht geöffnet wird.
Der angeforderte Schlüssel wird an den eigenen Webbrowser zurückgesendet und zudem auch eine ID, welche durch spezielle Unternehmen zur Zertifizierung errechnet wird. Die angeforderten Daten vom anderen Server werden nun vom Webbrowser überprüft und damit auch sichergestellt, dass der in der URL angegebene Server auch tatsächlich mit dem antwortendem Server übereinstimmt. Daraufhin kommt es zur eigentlichen Verschlüsselung mittels SSL, denn die beiden Server einigen sich nun auf den so genannten Session Key (auch als symmetrischer Schlüssel bezeichnet), welcher zur Verschlüsselung der Daten bei der Übertragung verwendet wird.
Damit arbeitet das SSL-Protokoll mit insgesamt drei Faktoren, die die Sicherheit bei der Datenübermittlung ermöglichen: die Internetverbindung wird durch die Verschlüsselung privatisiert, die Identität des anderen Servers wird festgestellt und letztendlich gibt es wirkungsvolle Algorithmen, die die Übertragung der Daten auf ihre Richtigkeit überprüfen und deren vollständigen sowie richtigen Empfang feststellen.
Bei der Verschlüsselung mittels SSL kann der Internetanwender sicher sein, dass seine Daten auf dem Weg zum anderen Server gegen eine Abfrage durch Unbefugte geschützt ist. Allerdings unterliegen die Daten nach der Übertragung dann dem Betreiber der angeforderten Webseite – fraglich ist daher immer, ob dieser die empfindlichen Daten auch nach der Übertragung entsprechend schützt und gegen den Zugriff von Unbefugten ausreichend absichert. Die Funktionsweise von SSL betrifft lediglich die Übermittlung der Daten und verspricht keine generelle Datensicherheit. Trotz einer gesicherten Verbindung mit SSL ist es daher immer empfehlenswert, die Datenschutzerklärungen des Betreibers der anderen Webseite beziehungsweise des Onlineshops zu lesen.