Was ist eigentlich SSL?
SSL steht für Secure Socket Layer (deutsch "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security zur Verschlüsselung einer Netzverbindung entwickelt. Das SSL-Protokoll gewährleistet, dass Daten während der Übertragung im Internet nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher.
mehr Sicherheit im Internet
via SSL Verschlüsselung!
Das SSL-Protokoll wird dadurch initiiert, dass dem bekannten http ein s (=secure, zu deutsch: sicher) in der URL der Verbindung angehängt wird. Bei jedem Aufruf einer https-Seite, prüft der Browser automatisch, ob die Internetseite ein gültiges SSL-Zertifikat hat. Hat Sie dies nicht, dann warnt der Browser mit einer Nachricht:
"Diese Web Site kann leider nicht als sicher verifiziert werden.
Wollen Sie wirklich weitermachen?"
- oder ähnlich, je nach Browser!
Bei einer solchen Warnung werden die Daten nicht verschlüsselt übertragen,
da das Zertifikat entweder unbekannt oder abgelaufen ist.
Ist ein SSL-Zertifikat korrekt erkannt, gibt der Browser normalerweise auch
einen Sicherheitshinweis zurück:
"Sie sind im Begriff, sich Seiten über eine sichere Verbindung
anzeigen zu lassen.
Keine der Informationen, die Sie mit dieser Site austauschen, kann von
anderen Personen im Web gesehen werden."
- oder ähnlich, je nach Browser!
Anschließend zeigt der Browser in der Status-Leiste ein kleines Schlüssel bzw. Schloss-Symbol als Beleg an (ein Klick auf dieses Symbol zeigt zudem das SSL Zertifikat). Inzwischen unterstützen alle gängigen Browser SSL.
Technisch funktioniert SSL wie folgt:
Am "https" erkennt der Browser, dass er vom angesprochenen Server ein SSL Zertifikat anfordern soll. Damit der Server dem Browser ein Zertifikat überhaupt zurückschicken kann, muss er ein Zertifikat von einer Zertifizierungsstelle haben. Anschließend meldet der Server dieses Zertifikat direkt an den Browser zurück. Der Browser erhält dann vom Verzeichnisdienst der Zertifizierungsstelle die Information, ob das Zertifikat gültig ist. Anhand dieser übermittelten Daten kann der Browser nun überprüfen, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, verständigen sich die beiden Rechner auf einen symmetrischen Schlüssel. Diese Verständigung passiert in der sicheren asymmetrischen Verschlüsselung. Um wirklich auf Nummer sicher zu gehen, schickt der Browser dem Server vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten. Diese kann der Server nur beantworten, wenn es wirklich der Server ist, der er zu sein vorgibt.
Durch ein SSL-Zertifikat sind drei Dinge gewährleistet:
- Nachrichtenschutz: Mit einem einmaligen Verschlüsselungsverfahren, verschlüsselt SSL alle Daten, die zwischen Server und Besucher ausgetauscht werden, wie z. B. Kreditkartennummern und andere persönliche Daten. Dadurch ist gewährleistet, dass Dritten kein Zugriff auf persönliche Daten möglich ist.
- Nachrichtenintegrität: Die Daten können über das Internet nicht geändert werden.
- Authentifizierung: Die Webseite gehört in der Tat der Person/Firma, die im Zertifikat als Antragsteller eingetragen ist.
Ein digitales Zertifikat ist somit eine Bescheinigung über die Identität, welche von einer unabhängigen und vertrauenswürdigen dritten Partei, der "Certification Authority" (CA), unterzeichnet wird. Also eine Art elektronische Urkunde oder die digitale Variante eines Ausweises. Die "CA" verbürgt sich mit Ihrer Unterschrift für die Richtigkeit der im Zertifikat enthaltenen Daten.
Wer benötigt SSL?
Alle diejenigen, die auf Ihre Webseite den Besucher eine sichere und risikofreie Verbindung Anbieten möchten, um z.B. sensiblen Bankdaten, Kreditkartennummern oder sonstige schützenswerte Daten, verschlüsselt über das Internet zu transferieren.