Die SSL-Verschlüsselung beschreibt einen Verschlüsselungsstandard zur Datenübertragung. Eine aktuellere Bezeichnung lautet TLS. SSL beziehungsweise TLS dient der Herstellung einer sicheren Verbindung zwischen Clients und Servern. Beim Umgang mit sensiblen Daten kommt der Verschlüsselungstechnik eine besondere Bedeutung zu. Vertrauenswürdige Internetseiten arbeiten typischerweise mit diesem Protokoll.
Als Abkürzung steht SSL für Secure Socket Layer. Der Verschlüsselungsstandard gewährleistet eine sichere Datenübertragung. SSL stellt eine ältere Bezeichnung für das inzwischen als TLS weiterentwickelte Protokoll dar. Das Verschlüsselungsprotokoll ermöglicht auch den sicheren Transport anderer Protokolle, beispielsweise HTTP, IMAP oder POP3. Die Informationen sind im Rahmen der Übertragung vor unbefugtem Zugriff von außen geschützt. Ebenso bietet die Verschlüsselung Sicherheit vor externen Angriffen oder Einflüssen. Zu berücksichtigen ist allerdings, dass ausschließlich der Übertragungsweg geschützt ist und nicht die Daten selbst.
Als Verschlüsselungsstandards sind SSL beziehungsweise TLS insbesondere im Zusammenhang mit dem Verbindungsaufbau im Internet relevant. Bei HTTPS-Verbindungen kommt es zum Senden sensibler Daten über die Verbindung. Speziell Internetseiten, die empfindliche Nutzerdaten verarbeiten, sind auf Verschlüsselung angewiesen. Die Übertragung von Passwörtern und Log-in-Daten erfolgt auf sicheren Webseiten unter SSL-Verschlüsselung. Besondere Bedeutung hat der Standard im E-Mail-Verkehr. Auch bei der Datenübertragung in sozialen Netzwerken ist die Verschlüsselung von Bedeutung. Online-Shops und Online-Banking wären ohne den sicheren Umgang mit den Daten kaum vertrauenswürdig.
Die letzte Version unter dem Namen SSL wurde 1999 durch die Bezeichnung TLS 1.0 abgelöst. Aufgrund der Umbenennung kam es oftmals zu Verwirrung über die Versionen. So ist TLS 1.0 inoffiziell auch als SSL 3.1 bekannt. Im allgemeinen Sprachgebrauch ist die Bezeichnung SSL noch immer weiter verbreitet als TLS. In den vergangenen Jahren haben Sicherheitsexperten vermehrt Schwachstellen in den älteren Verschlüsselungsstandards aufgedeckt. Seit dem 30. Juni 2018 ist es vorgesehen, dass Webseiten mindestens dem Standard TLS 1.1 entsprechen, um den Vorgaben des PCI Data Security Standard (DSS) zu genügen.
Bei einer Erklärung zu SSL-Verschlüsselung stehen die kryptografischen Verfahren im Vordergrund. Die Kryptografie verstand sich ursprünglich als Wissenschaft der Daten- und Informationsverschlüsselung. Die moderne Kryptografie fokussiert sich insbesondere auf unterschiedliche Ansätze zur Gewährleistung sicherer IT-Systeme. Im Rahmen der Kryptografie sind Standards festzulegen sowie sichere Informationssysteme zu konzipieren. Unberechtigte Zugriffe von außen sowie unberechtigte Manipulation der Systeme durch Dritte werden somit unterbunden. Hierbei sind unterschiedliche Methoden und Techniken zur Realisierung dieser Ziele zu unterscheiden.
Eine wesentliche technische Unterscheidung in der Erläuterung der Verschlüsselungsstrategien betrifft den Umgang mit den Schlüsseln. In diesem Zusammenhang ist zwischen symmetrischer sowie asymmetrischer Verschlüsselung zu unterscheiden. Die symmetrische Verschlüsselung bedient sich sowohl beim Verschlüsseln als auch beim Entschlüsseln jeweils derselben Schlüssel. Technisch aufwendiger, aber auch sicherer ist die asymmetrische Verschlüsselung.
Bei asymmetrischer Verschlüsselung kommt ein Schlüsselpaar zum Einsatz. Die beiden verschiedenen Schlüssel dienen jeweils entweder dem Ver- oder dem Entschlüsseln. Sie tragen die Bezeichnungen öffentlicher Schlüssel (Public Key) und privater Schlüssel (Private Key). Beide Schlüssel sind zur Gewährleistung der Kommunikation oder Datenübertragung erforderlich. Nur wer im Besitz des öffentlichen und eines privaten Schlüssels ist, kann die auf diese Weise übertragenen Informationen auslesen.
SSL-Zertifikate lassen sich weiterhin in Versionen mit 128 Bit sowie solche mit 256 Bit unterscheiden. Hierbei gelten die 256-Bit-Versionen als sicherer. Ein weiterer technischer Beitrag zur Sicherheit ist die Hash-Funktion. Über diese lassen sich digitale Fingerabdrücke erstellen. Sie bieten eine zusätzliche Möglichkeit, die Manipulation übertragener Daten auf ihrem Weg vom Sender zum Empfänger zu überprüfen.
Die Besucher einer Internetseite erhalten über die Adresszeile der URL einen Einblick in das verwendete Zertifikat. Die meisten Webbrowser weisen dieses Zertifikat bereits auf den ersten Blick als sicher oder unsicher aus. Ein Klick auf das Zertifikat vermittelt Besuchern genauere Informationen über den Aussteller sowie die Inhaber dieses Zertifikats. Weiterhin finden Besucher hier zusätzliche Zertifikatsinformationen, darunter etwa das Ablaufdatum. Mit diesen Informationen können Besucher Rückschlüsse auf die Vertrauenswürdigkeit eines Seitenbetreibers ziehen.
SSL-Zertifikate sind nicht alle gleichartig, sondern lassen sich in verschiedene Sicherheitsstufen unterscheiden. Als hoher Sicherheitsstandard gilt das EV-SSL-Zerfitikat (Extended-Validation). Es handelt sich um Zertifikate mit erweiterter ("extended") Überprüfung. Zertifizierungsstellen vergeben ein solches Zertifikat erst nach standardisierter und umfassender Überprüfung einer Seite und ihrer Verbindung. Eine geringere Validierungsstufe sieht nur eine Überprüfung der Domain beziehungsweise ihrer E-Mail-Adresse vor. Dazwischen existieren weitere Validierungsstufen. Diese sehen etwa eine Validierung des Unternehmens beziehungsweise der Organisation vor.
Die Datenübertragung zwischen Client und Server gilt bei Nutzung der SSL- beziehungsweise TLS-Verschlüsselung als sicher vor dem Zugriff Dritter. Wenn sich eine Suchmaschine der Verschlüsselung bedient (Encrypted Search), sind die Daten der Nutzer ebenso verschlüsselt und lassen sich von außen nicht nachvollziehen. Allerdings kann diese Verschlüsselung nicht gewährleisten, dass Seitenbetreiber sicher mit den Daten verfahren. Sind Daten ungeschützt auf einem Server hinterlegt, so sind sie weiterhin ein leichtes Ziel für Hacker.