Daten abgesichert laden und senden
Von Hans Klumbies
Secure Sockets Layer (SSL) sichert Übertragungen über das Internet unabhängig vom verwendeten Protokoll gegen Abhören. Das Protokoll wird seit einiger Zeit unter dem Namen Transport Layer Security (TLS) weiterentwickelt.
Mithilfe von SSL lassen sich z.B. Daten über HTTP sicher abrufen und vertrauliche Daten über ein Formular verschlüsselt an den HTTP-Server übermitteln. Das Gleiche gilt für E-Mails, die über SSL beim POP3-Server abgerufen oder an den SMTP-Server übermittelt werden. Nicht nur die Verbindung ist über SSL sicher – zusätzlich wird die Echtheit des kontaktierten Servers und die Verbindung zu ihm durch ein Zertifikat garantiert. Die Übertragung erfolgt verschlüsselt, die Verbindung und die Daten unterliegen einer ständigen Prüfung.
Greift der Client auf einen Server zu, der über SSL gesichert ist, fordert er von ihm ein Zertifikat und den öffentlichen Schlüssel (Public Key) an. Schlüssel und Zertifikat werden vom Client auf Glaubwürdigkeit hin überprüft. Je nach Einstellung des Clients wird erst der Benutzer gefragt oder sofort eine verschlüsselte Verbindung hergestellt. In einem Browser wird diese sichere Verbindung meist durch ein Schloss unten in der Statuszeile angezeigt. Bei jeder Übertragung von Daten zwischen Client und Server wird immer wieder ein neuer Schlüssel generiert.
Zum SSL-Protokoll gehören der öffentliche sowie der private digitale Schlüssel des Servers. Der öffentliche Schlüssel ist bekannt und zugänglich. Der Private Key liegt auf dem Server und bleibt geheim. Der öffentliche Schlüssel enthält eine digitale Signatur mit Angaben zum Inhaber und der Domain. Nur der Server mit dem passenden privaten Schlüssel kann die Daten dekodieren.