SSL

Das Kürzel SSL steht für „Secure Sockets Layer“. Dabei handelt es sich um ein hybrid arbeitendes Verschlüsselungsprotokoll, mit dem eine sichere Übertragung von Daten im Internet möglich wurde. Die erste Version wurde im Jahr 1994 von Netscape Communications veröffentlicht. Dabei orientierten sich die Entwickler am Können des Browsers Mosaic. Schon ein knappes halbes Jahr später folgte die Version SSL 2.0. Microsoft arbeitet zeitgleich an einer ähnlichen Verschlüsselungstechnik, die 1995 unter der Bezeichnung PCT 1,0 veröffentlicht wurde. Das Kürzel steht hier für „Private Communication Technology“. PCT war SSL in einigen Dingen überlegen. Sie fanden Eingang in die Version 3.0, die allerdings unter der Kurzbezeichnung TLS entwickelt wurde.

Welche Etappen durchliefen SSL und TLS bei der bisherigen Entwicklung?

Die erste verbindliche Definition von SSL erfolgte durch die IETF im Standard RFC 2246. Die Einführung der Kerberos Cipher Suites wurde im Standard RFC 2712 dokumentiert. Die technischen Einzelheiten bei der Nutzung von SSL bei TCP-Verbindungen fand Eingang in den Standard RFC 2817. Im Standard RFC 2818 finden sich die Dokumentationen zur Verwendung eigener TCP-Ports für die Trennung von sicherem und unsicherem Datentransfer. Die Angaben zur Integration des Advanced Encryption Standards, kurz AES, finden sich im Standard RFC 3268. Die technischen Hinweise zur optionalen Erweiterung der Header bei Übertragungen via SSL ist unter RFC 3546 zu finden. Mit den im Jahr 2008 eingeführten Standard RFC 5246 wurden die Versionen RFC 4346 und 2246 überflüssig. Im RFC 5346 wurde die Verwendung von Hash-Algorithmen anstelle der zuvor bei SSL angewendeten Pseudozufallsfunktionen nach MD5/SHA-1 eingeführt.

Wie funktioniert SSL in der Praxis?

SSL sorgt für den sicheren Transfer von Daten, die in interaktive Formulare in Websites eingetragen werden. Eine besonders große Rolle spielt bei der On-Page-Optimierung die Anwendung von SSL und TLS in Onlineshops, wo sensible Daten wie beispielsweise Bankverbindungen zur Bezahlung über eine Lastschrift vom Konto übermittelt werden müssen. Dafür muss sich der Server gegenüber dem Client mit einem speziellen Zertifikat ausweisen. Dieses Zertifikat wird alternativ auch als Fingerprint bezeichnet. Ist ein solches Zertifikat zur Nutzung von SSL bzw. TLS abgelaufen, gibt der Browser eine Fehlermeldung aus. Die Sicherheit kann durch eine gegenseitige Authentifizierung der Server und Clients gesteigert werden. Dabei wird in der Regel das Prinzip des Diffie-Hellman-Schlüsseltauschs angewendet, aus dem dann wiederum ein kryptografischer Schlüssel abgeleitet wird, der immer nur für eine einzige Session gilt. Bestandteil dieses Schlüssels ist ein Message Authenticatuon Code, der im Header jedes einzelnen Datenpakets enthalten ist.

Vor- und Nachteile von SSL bei Websites

Ein Pluspunkt bei SSL ist, dass diese Technologie unabhängig von der Systemarchitektur des Netzwerks und dem gewählten Betriebssystem eingesetzt werden kann. Die Implementierung ist mit verschiedenen Programmbibliotheken möglich. Dazu zählen beispielsweise:

• Cryptlib
• GnuTLS
• LibreSSL
• OpenSSL
• PolarSSL

Die Nachteile von SSL finden sich in der Zeit, die für den eigentlichen Verbindungsaufbau benötigt wird. Das könnte sich nachteilig auf die Ladezeiten für eine Website auswirken. Nach der Authenifizierung wirkt sich die Verschlüsselung kaum noch verzögernd aus. Eine schnellere Übertragung der verschlüsselten Daten ist mit der Komprimierung mit zlib zu erreichen. Einen Schwachpunkt bildet SSL allerdings bei Architekturen, die einen hohen Grad der Serviceorientierung aufweisen. Hier wirkt sich negativ aus, dass mit SSL und TLS lediglich die Nachrichten zwischen zwei Stationen eines Netzwerks (Server und ein Cient) verschlüsselt übertragen werden. Erfolgt die Übertragung identischer Nachrichten über mehrere Zwischenstationen, ist nicht mehr gewährleistet, dass jede Zwischenstation nur die für sie bestimmten Informationen entschlüsseln kann.

Interessiert? Erfahren Sie mehr zum Thema "SSL" - kontaktieren Sie uns jetzt