Sichere Datenübertragung: Wie funktionieren eigentlich SSL und TLS?

22. September 2015 von Sebastian Schulte

Die Verschlüsselungstechnik Secure Sockets Layer wird von vielen Internetdiensten genutzt, um eine gesicherte Verbindung zu gewährleisten.

Sichere Datenübertragung ist für immer mehr Menschen ein großes Thema. Egal ob beim Webmailclient oder beim Online-Bestellvorgang: Viele Dienste setzen auf die Verschlüsselungstechnik SSL (Secure Sockets Layer). Seit der Version 3.0 wird dieser Standard unter dem Namen TLS (Transport Layer Security) weiter entwickelt.

Eine SSL– oder TLS-Verschlüsselung bietet viele Vorteile: Zum einen ist sichergestellt, dass beide Verbindungspartner die sind, die sie vorgeben zu sein, und zum anderen sind alle Daten (E-Mails, Passwörter und anderes), die übertragen werden, verschlüsselt und somit auf dem Übertragungsweg abhörsicher.

Damit das funktioniert, benötigt man ein Zertifikat, den so genannten Schlüssel. Wenn eine Verbindung zu einem Server aufgebaut wird (um beispielsweise eine E-Mail zu verschicken), fragt der Server oder Client, der die Verbindung aufbaut, eine verschlüsselte Verbindung an. Darauf antwortet der angefragte Server mit seinem Zertifikat, welches vorher von einer Zertifizierungsstelle (Englisch: Certificate Authority, kurz CA) virtuell „unterschrieben“ wurde. Damit bestätigt diese Zertifizierungsstelle die Identität des Servers beziehungsweise dessen Betreibers. Anhand des Zertifikats kann der Server oder Client der die Verbindung angefragt hat, bei der Zertifizierungsstelle die Identität des Servers überprüfen.

Auch Metadaten werden verschlüsselt übertragen

Im letzten Schritt einigen sich im Anschluss beide Verbindungpartner auf einen sicheren Schlüssel, mit dem die zu übertragenden Daten kodiert werden. So ist sichergestellt, dass diese Daten nur noch von den beiden Verbindungspartnern dekodiert und gelesen werden können. Das heißt,  selbst wenn die Daten unterwegs abgefangen würden, kann niemand ohne weiteres den eigentlichen Inhalt – etwa eine Mail oder Kontoinformationen eines Onlinekaufs – lesen. Auch die Metadaten von Mails, also die so genannten die „Kopfinformationen“ wie Mailadressen, Betreff oder Uhrzeit, werden hierbei verschlüsselt übertragen.

Zertifikat auf Vertrauenswürdigkeit prüfen

Bei einem Webseitenaufruf wird eine SSL-Verbindung durch ein https:// vor der URL eingeleitet. Das bringt den Browser dazu, beim Server eine verschlüsselte Verbindung anzufragen. Mit dem Zertifikat werden dem Browser dabei viele Informationen zur Identität des Betreibers der Website und auch zur Identität des Ausstellers des Zertifikats mitgegeben. Um das Zertifikat auf seine Vertrauenswürdigkeit zu prüfen, wird es wiederum von einer Zertifizierungsstelle mit einem weiteren Zertifikat virtuell unterschrieben. So kann ein ganzer Zertifikatsbaum entstehen, über welchen sich dann Rückschlüsse darauf machen lassen, wer im Einzelnen wem vertraut. Wenn der Browser das Zertifikat erfolgreich geprüft hat, stellt er die Verbindung her und macht dies in der Regel kenntlich: Beim beliebten Browser Firefox erscheint in der Adressleiste beispielsweise ein verriegeltes Schloss vor der Adresse.

Kategorie: Sicherheit
Schlagworte: E-Mail made in Germany, Secure Sockets Layer, Sicherheit, SSL, TLS, Transport Layer Security

Verwandte Themen

Global Encryption Day 2024: Sicherer E-Mail-Verkehr durch Ende-zu-Ende-Verschlüsselung

Am Global Encryption Day, der jährlich am 21. Oktober stattfindet, stärken Unternehmen und Organisationen weltweit das Bewusstsein für Datenschutz und die Bedeutung von Verschlüsslungstechnologien. GMX/WEB.DE erklärt PGP-Verschlüsselung und wie Nutzerinnen und Nutzer sie einfach und kostenfrei einrichten können. mehr

Cyber-Kriminalität: GMX und WEB.DE erkennen rund 35 Prozent mehr Spam

Die Menge an abgewehrten Spam-Mails bei Deutschlands größten E-Mail-Anbietern GMX und WEB.DE steigt. Im dritten Quartal 2024 haben die beiden Dienste wöchentlich rund 1,9 Milliarden potenziell gefährliche E-Mails aus dem eingehenden Nachrichtenstrom herausgefiltert. Im Vorjahresquartal waren es noch 1,4 Milliarden. Im Trend liegen gefälschte E-Mails von Paketunternehmen und Kundenservice-Phishing. mehr