Einführung zu SSL

SSL (Secure Sockets Layers, man könnte es übersetzen als gesicherte Socket-Schicht) ist ein Sicherungsverfahren für Transaktionen übers Indernet. Der SSL Standard wurde von Netscape, zusammen mit Mastercard, Bank of America, MCI und Silicon Graphics entwickelt. Es arbeitet mit einem Verfahren der Kryptographie mit öffentlichem Schlüssel um die Sicherheit von Datenübertragungen im Internet zu gewährleisten. Das Prinzip besteht darin, einen gesicherten (chiffrierten) Kommunikationskanal zwischen zwei Rechnern (Kunde und Server) aufzubauen, nach dem Schritt der Authentifizierung.

Das System SSL ist unabhängig vom benutzten Protokoll, das bedeutet, es kann sowohl Übertragungen sichern, die im HTTP Protkoll durchgeführt werden, als auch welche über das FTP Protokoll, POP ou IMAP. SSL dient als zusätzliche Ebene zur Sicherung der Daten zwischen der Ebene der Anwendung und der des Transports (TCP Protokoll , zum Beispiel).

Dadurch ist SSL transparent für den User (es kann aber sein, dass er nicht weiß, dass er SSl nutzt). Ein User, der zum Beispiel einen Webbrowser benutzt, um eine Verbindung zu einer durch SSL gesicherten e-commerce Seite aufzubauen, sendet chiffrierte Daten, ohne selbst irgendwelche Änderungen vornehmen zu müssen.
Beinahe alle Browser unterstützen inzwischen das SSL-Protokoll. Netscape Navigator zeigt ein versperrtes Schloss an, um die Verbindung zu einer durch SSL gesicherten Seite anzuzeigen, ein offenes Schloss steht für den anderen Fall Microsoft Internet Explorer zeigt nur dann ein Schloss an, wenn eine Verbindung zu einer durch SSL gesicherten Seite besteht.

im Internet Explorer	in Mozilla

Ein durch SSL gesicherter Webserver hat eine URL , die mit https://, beginnt, das "s" steht klarerweise für secured (gesichert).

Im Jahr 2001 wurde das Patent für SSL, das bis dahin Netscape gehörte, von der IETF (Internet Engineering Task Force) aufgekauft und wurde dabei zu TLS (Transport Layer Security) umgetauft.

Funktionsprinzip von SSL 2.0

Die Sicherung von Transaktionen durch SSL 2.0 beruht auf einem Schlüsselaustausch zwischen Kunden und Server. Eine durch SSL gesicherte Transaktion läuft folgendermaßen ab :

• Zuerst verbindent sich der Kunde mit der durch SSL geschützten Händlerseite und bittet den Händler um Authentifizierung. Außerdem sendet der Kunde die Liste der von ihm unterstützen Kryptosysteme, absteigend nach Schlüssellänge geordnet.
• Der Empfangsserver der Anfrage sendet dem Kunden ein Zertifikat mit dem öffentlichen Schlüssel des Servers, signiert von einer Zertifizierungsstelle (CA), und dem Namen des obersten Kryptosystems in der Liste, mit der er kompatibel ist (die Länge des Schlüssel - 40 oder 128 Bit - entspricht dem des gemeinsamen Kryptosystems mit der höchsten Schlüsselgröße).

  

• Der Kunde prüft die Validität des Zertifikats (also die Authentizität des Händlers), und erzeugt dann einen züfälligen Geheimschlüssel (genauer - ein Block, der vorgeblich zufällig ist), chiffriert ihn dann mit dem öffentlichen Schlüssel des Servers und sendet das Resultat (den Session Key).
• Der Server ist in der Lage, mit seinem Schlüssel den Schlüssel der Sitzung zu erkennen. Beide Einheiten besitzen einen einheitlichen Schlüssel, den nur sie beide kennen. Die übrige Transaktion lüft dann über den Schlüssel der Sitzung, der die Vollständigkeit und die Vertraulichkeit der ausgetauschten Daten garantiert.

SSL 3.0

SSL 3.0 zielt daraif ab, den Server vis-a-vis des Kundens zu authentifizieren, eventuell auch den Kunden vis-a-vis des Servers.

Plus d'information

• The TLS Protocol Version 1.0