Der erste Internetbrowser war 1994 kaum auf dem Markt (”Mosaic”), da stellte das Unternehmen Netscape Communications kurz darauf auch die Grundlage zur sicheren Datenübertragung im Netz vor: “Secure Sockets Layer”, frei übersetzt “sichere Sockelschicht”, kurz SSL. SSL bildet – technisch gesehen – zunächst ein “Anhängsel” des Hypertext-Übertragungsprotokolls HTTP. Beim Verbindungsaufbau zwischen zwei Servern signalisiert mindestens einer der Server mit einem angehängten “s” (https), dass eine sichere Verbindung zu Stande kommen soll. Damit der Nutzer weiß, dass die eingegebene Adresse auch die richtige ist und er nicht etwa mit einer betrügerischer Website verbunden ist, sendet diese Website automatisch ein SSL-Zertifikat zurück. Der Browser schickt daraufhin eine Anfrage zum Verzeichnisdienst der zuständigen Zertifizierungsstelle und prüft, ob das gesendete Zertifikat gültig ist und zur angewählten Adresse passt. Erst danach kann der eigentliche Verschlüsselungsprozess für die Datenübertragung beginnen.

Vertrauen ist gut – Kontrolle besser

Ein SSL-Zertifikat sagt zunächst nichts weiter aus, als dass sich der Betreiber einer Website bei einer Zertifizierungsstelle hat registrieren lassen. Dem Nutzer wird signalisiert, dass der Datenaustausch verschlüsselt und damit abgesichert erfolgen kann. Allerdings gibt es in der Qualität der Zertifizierung deutliche Unterschiede. So können sich Privatleute via Internet kostenlos ein SSL-Zertifikat beschaffen, ohne dass die Identität des Antragstellers ausreichend überprüft wird. Die gängigen Webbrowser machen jedoch auf entsprechende Websites automatisch aufmerksam, so dass der Nutzer selbst entscheiden kann, ob er dem Anbieter vertrauen will. Bei Hinweisen wie “Das Zertifikat ist abgelaufen” oder “stimmt nicht mit dem Anbieternamen überein”, sollte der Verbindungsaufbau indes abgebrochen werden. Seriöse Zertifizierungsstellen verlangen von den Antragstellern hingegen amtliche Daten – etwa den Handelsregisterauszug oder die Gewerbeanmeldung – und stellen das Zertifikat erst nach entsprechender Verifizierung gegen Gebühr aus. In jedem Fall sind SSL Zertifikate immer nur befristet gültig und müssen von den Website-Betreibern nach Ablauf erneuert werden.

This entry was posted on Mittwoch, Juli 29th, 2009 at 00:58 and is filed under Allgemein. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.