Secure Socket Layer (SSL) Das Secure Socket Layer (SSL) Protokoll wurde von der Firma Netscape erstmals im Jahr 1994 vorgestellt und existiert nach einigen Modifikationen mittlerweile als Version 3.0. Es handelt sich hierbei um ein Sicherheitsprotokoll welches zwischen der Netzwerk- und der Applikationsebene der TCP/IP Protokoll Suite zum tragen kommt. Es wurde so konzipiert, das jedes Protokoll der Transportschicht um einen "sicheren Kanal" erweitert werden kann, welcher eine sichere Verbindung zwischen einer Client- und einer Serveranwendung ermöglicht und eine Authentifizierung von Server und Client (optional) gestattet. Da die Anwendungsschicht nicht betroffen sind, können somit jegliche Anwendungen ohne Veränderung ihrer spezifischen Protokolle von diesem Sicherheitsmechanismus Gebrauch machen. [RDH98] SSL bietet desweiteren die Grundlage für das Transport Layer Security (TLS) Protokoll, welches von der Internet Engineering Task Force veröffentlicht wurde. Das Ziel des SSL ist insbesondere die Nutzung für elektronische Zahlungsvorgänge im Internet. Das Protokoll verwendet Mechanismen wie Public Key Verfahren, Zertifikate und symmetrische Verschlüsselung nach verschiedensten Algorithmen (DES, MD5, RSA,...). SSL HandshakeZu Beginn einer jeden Verbindung erfolgen eine Reihe von Schritten, welche einerseits eine Authentifikation des Servers gegenüber dem Client bzw. des Clients gegenüber dem Server (optional) ermöglichen und andererseits die Voraussetzungen für die weitere Kommunikation schaffen. Dabei einigen sich Client und Server auf die zu verwendenden Protokollversionen und Verschlüsselungsverfahren. [RDH98] Der Ablauf dieses "Handshakes" stellt sich etwa folgendermaßen dar: Schritt 1: "client hello" Schritt 2: "server hello" Schritt 3: "server certificate" Schritt 4: "server key exchange" Schritt 5: "certificate request" Schritt 6: "server hello done" Schritt 7: "client certificate"
(optional) Schritt 8: "client key exchange" Schritt 9: "certificate verify" Schritt 10: "finished" Zum Zweck der Authentifizierung verwalten sowohl Client als auch Server eine Liste anerkannter Zertifizierungsstellen (CA) und besitzen selbst Zertifikate. Die voreingestellte Zertifizierungstelle für Netscape und eine Reihe gleichartiger Produkte ist die Firma VeriSign. SSL wird unter anderem von dem Netscape Browser (Client-Seite) sowie den Netscape Enterprise Produkten unterstützt. |