Secure Sockets Layer (SSL) is een protocol dat door Netscape is ontwikkeld om een veilige verbinding tussen twee of meer apparaten via internet te bieden. SSL gebruikt een cryptografisch systeem dat twee sleutels gebruikt om gegevens te versleutelen: een openbare sleutel die bij iedereen bekend is en een privé- of geheime sleutel die alleen bekend is bij de ontvanger van het bericht. De meeste webbrowsers ondersteunen SSL en veel websites gebruiken het protocol om vertrouwelijke gebruikersinformatie te verkrijgen, waaronder creditcardnummers. Volgens afspraak beginnen URL’s waarvoor een SSL-verbinding is vereist, met https in plaats van http.
Dit wil niet zeggen dat SSL en S-HTTP identieke protocollen zijn, alleen dat de twee nauw verwant zijn en gemakkelijk te herkennen zijn aan het https-label. Terwijl SSL een veilige verbinding tot stand brengt tussen een client en een server waarover elke hoeveelheid gegevens veilig kan worden verzonden, is S-HTTP ontworpen om individuele berichten veilig te verzenden. SSL en S-HTTP kunnen daarom worden gezien als complementaire in plaats van concurrerende technologieën. Beide protocollen zijn goedgekeurd door de Internet Engineering Task Force (IETF) als standaarden.
Hoe werkt SSL?
SSL werkt door een handshake in drie stappen te implementeren die bovenop een TCP-verbinding is geplaatst:
- Wanneer een webbrowser via SSL verbinding probeert te maken met een website, zal de browser eerst de webserver vragen om zichzelf te identificeren. Hierdoor wordt de webserver gevraagd om de browser een kopie van het SSL-certificaat te sturen.
- De browser controleert of het SSL-certificaat vertrouwd is en als dit het geval is, stuurt de browser een verificatiebericht naar de webserver.
- De server reageert vervolgens op de browser met een digitaal ondertekende bevestiging om een met SSL gecodeerde sessie te starten. Hierdoor kunnen versleutelde gegevens worden gedeeld tussen de browser en de server, zoals geïdentificeerd door het https-label in plaats van http.
SSL versus TSL
Secure Sockets Layer (SSL) is de voorloper van Transport Layer Security (TLS). In 2014 werd de 3.0-versie van SSL als kwetsbaar beschouwd vanwege POODLE-aanvallen (Padding Oracle On Downgraded Legacy Encryption), waardoor beveiligde HTTP-cookies of HTTP-autorisatieheaderinhoud kon worden gestolen uit gedowngraded communicatie. Tegenwoordig wordt SSL 3.0 als verouderd beschouwd en is het opgevolgd door Transport Layer Security (TLS), maar het wordt nog steeds op grote schaal geïmplementeerd. TLS verfijnt het handshake-proces van SSL en verbetert een aantal beveiligingsproblemen om een betrouwbaarder protocol te creëren. TSL-certificaten worden soms ten onrechte SSL-certificaten genoemd, maar het SSL-protocol is zelden gebruikt sinds het officieel werd verouderd in 2015.