Was ist SSL? | SSL-Definition

Secure Sockets Layer (SSL) ist ein Sicherheitsprotokoll, das der Internetkommunikation Datenschutz, Authentifizierung und Integrität bietet. SSL entwickelte sich schließlich zu Transport Layer Security (TLS).

Share facebook icon linkedin icon twitter icon email icon

SSL

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • SSL definieren
  • Den Unterschied zwischen SSL und TLS verstehen
  • SSL-Zertifikate verstehen

Was ist SSL?

SSL oder Secure Sockets Layer ist ein verschlüsselungsbasiertes Internet-Sicherheitsprotokoll. Es wurde erstmals 1995 von Netscape entwickelt, um Datenschutz, Authentifizierung und Datenintegrität in der Internetkommunikation zu gewährleisten. SSL ist der Vorgänger der heute verwendeten modernen TLS-Verschlüsselung.

Bei einer Website, die SSL/TLS implementiert, enthält die URL „HTTPS“ anstelle von „HTTP“.

HTTP und HTTPS im Vergleich

Wie funktioniert SSL/TLS?

  • Um ein hohes Maß an Datenschutz zu gewährleisten, werden über das Web übertragene Daten mit SSL verschlüsselt. Dies bedeutet, dass jeder, der versucht, diese Daten abzufangen, nur eine unkenntliche, kaum zu entschlüsselnde Zeichenfolge sieht.
  • SSL leitet einen Authentifizierungsprozess zwischen zwei kommunizierenden Geräten ein, der als Handshake bezeichnet wird. Beim Handshake wird überprüft, ob beide Geräte wirklich die sind, für die sie sich ausgeben.
  • Bei SSL werden Daten außerdem digital signiert, um die Datenintegrität zu gewährleisten. So können die Daten nicht manipuliert werden, bevor sie ihren beabsichtigten Empfänger erreichen.

Es gab mehrere SSL-Iterationen, von denen jede sicherer ist als die vorangegangene. 1999 wurde SSL auf TLS aktualisiert.

Warum ist SSL/TLS wichtig?

Ursprünglich wurden Daten im Web im Klartext übertragen. Jeder, der die Nachricht abfing, konnte sie lesen. Wenn ein Verbraucher eine Bestellung in einem Onlineshop aufgab und seine Kreditkartennummer eintippte, reiste diese Kreditkartennummer unverdeckt durch das Internet.

SSL wurde entwickelt, um dieses Problem zu lösen und die Privatsphäre der Nutzer zu schützen. Es verschlüsselt alle Daten, die zwischen dem Nutzer und dem Webserver ausgetauscht werden. Wenn jemand diese Daten abfängt, sieht er nur ein Durcheinander an Zeichen. Die Kreditkartennummer des Verbrauchers ist jetzt sicher und nur der Onlineshop, in den sie eingegeben wurde, kann sie einsehen.

SSL blockiert auch bestimmte Arten von Cyber-Angriffen: Es authentifiziert Webserver; das ist wichtig, da Angreifer oft versuchen, Nutzer mit gefälschten Websites zu täuschen und ihre Daten zu stehlen. Es verhindert auch, dass Angreifer Daten während der Übertragung manipulieren können, ganz wie ein manipulationssicheres Siegel auf einem Medikamentenbehälter.

Sind SSL und TLS dasselbe?

SSL ist der direkte Vorgänger eines anderen Protokolls namens TLS (Transport Layer Security). 1999 schlug die Internet Engineering Task Force (IETF) eine Aktualisierung von SSL vor. Da diese Aktualisierung von der IETF ohne Beteiligung von Netscape entwickelt wurde, änderte man den Namen in TLS. Die Unterschiede zwischen der endgültigen Version von SSL (3.0) und der ersten Version von TLS sind nicht drastisch. Die Namensänderung soll eher den Eigentümerwechsel anzeigen.

Da sie so eng miteinander verbunden sind, werden die beiden Begriffe häufig synonym verwendet und miteinander verwechselt. Einige Leute sagen immer noch SSL und meinen damit TLS, andere verwenden den Begriff „SSL/TLS-Verschlüsselung“, weil der Name SSL immer noch so gut bekannt ist.

Ist SSL noch aktuell?

SSL wurde seit SSL 3.0 im Jahr 1996 nicht aktualisiert und gilt nun als veraltet. Es gibt mehrere bekannte Sicherheitslücken im SSL-Protokoll, und Sicherheitsexperten empfehlen, die Verwendung einzustellen. Tatsächlich unterstützen die meisten modernen Webbrowser SSL überhaupt nicht mehr.

TLS ist das aktuelle online implementierte Verschlüsselungsprotokoll, auch wenn es von vielen immer noch „SSL-Verschlüsselung“ genannt wird. Für Verbraucher, die nach Sicherheitslösungen suchen, kann dieser Umstand zu Verwirrung führen. In Wahrheit bietet jeder Anbieter, der heutzutage „SSL“ verkauft, mit ziemlicher Sicherheit TLS-Schutz, der seit mehr als zwanzig Jahren der Industriestandard ist. Da viele Verbraucher jedoch immer noch nach „SSL-Schutz“ suchen, verwenden viele Produktseiten weiterhin den Begriff „SSL“.

Was ist ein SSL-Zertifikat?

SSL kann nur von Websites implementiert werden, die über ein SSL-Zertifikat (streng genommen ein „TLS-Zertifikat“) verfügen. Ein SSL-Zertifikat ist wie ein Personalausweis oder ein Dienstausweis, die beweisen, dass jemand wirklich derjenige ist, der er vorgibt zu sein. SSL-Zertifikate werden vom Server einer Website oder Anwendung im Web gespeichert und angezeigt.

Zu den wichtigsten Informationen in einem SSL-Zertifikat gehört der öffentliche Schlüssel der Website. Der öffentliche Schlüssel macht die Verschlüsselung möglich. Das Gerät eines Nutzers sieht den öffentlichen Schlüssel und verwendet ihn, um sichere Verschlüsselungsschlüssel mit dem Webserver zu erstellen. Gleichzeitig verfügt der Webserver auch über einen privaten Schlüssel, der geheim gehalten wird. Der private Schlüssel entschlüsselt die Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden.

Für die Ausstellung von SSL-Zertifikaten sind Zertifizierungsstellen (CA) zuständig.

Welche Arten von SSL-Zertifikaten gibt es?

Es gibt mehrere unterschiedliche Arten von SSL-Zertifikaten. Je nach Art kann ein Zertifikat für eine einzelne Website oder für mehrere Websites gelten:

  • Single-Domain: Ein Single-Domain-SSL-Zertifikat gilt nur für eine Domain (eine „Domain“ ist der Name einer Website, z. B. www.cloudflare.com).
  • Wildcard: Wie ein Single-Domain-Zertifikat gilt ein Wildcard-SSL-Zertifikat nur für eine Domain. Es umfasst jedoch auch die Subdomains dieser Domain. Ein Wildcard-Zertifikat gilt beispielsweise für: www.cloudflare.com, blog.cloudflare.com und developers.cloudflare.com, während ein Single-Domain-Zertifikat nur www.cloudflare.com abdeckt.
  • Multi-Domain: Wie der Name schon sagt, können Multi-Domain-SSL-Zertifikate auch für mehrere Domains gelten, die nicht mit einander verbunden sind.

SSL-Zertifikate haben verschiedene Validierungsstufen. Eine Validierungsstufe ist wie ein Background-Check. Das Niveau ändert sich je nachdem, wie gründlich er durchgeführt wird.

  • Domain Validation: Diese Validierungsstufe ist am lockersten und kostet am wenigsten. Ein Unternehmen muss lediglich nachweisen, dass es die Domain kontrolliert.
  • Organization Validation: Das ist eine etwas konkretere Vorgehensweise: Die CA wendet sich direkt an die Person oder die Firma, die das Zertifikat beantragt. Diese Zertifikate sind für Nutzer vertrauenswürdiger.
  • Extended Validation: Diese Stufe erfordert eine vollständige Hintergrundprüfung einer Organisation, bevor das SSL-Zertifikat ausgestellt werden kann.

Wie kann ein Unternehmen ein SSL-Zertifikat erhalten?

Cloudflare bietet kostenlose SSL-Zertifikate für jedes Unternehmen an. Eine durch Cloudflare geschützte Website kann SSL mit nur wenigen Klicks aktivieren. Websites müssen möglicherweise auch ein SSL-Zertifikat auf ihrem Ursprungsserver einrichten: In diesem Artikel bekommen Sie eine weitere Anleitung.

Weitere Informationen zu SSL/TLS

Weitere Informationen zur Funktionsweise der SSL/TLS-Verschlüsselung finden Sie unter Was ist TLS? Mit dem Cloudflare Diagnostic Center können Sie überprüfen, ob die SSL/TLS-Verschlüsselung auf einer Website ordnungsgemäß implementiert wurde.