Bezahlen im Internet

SSL: Secure Socket Layer

Das derzeit verbreitetste digitale Zahlungsverfahren beruht auf dem SSL-Protokoll. SSL wurde von Netscape entwickelt und in den Netscape Navigator und Internet Explorer ab Version 4.x und Opera ab Version 3.4 integriert. Zur Sicherung sensibler Daten wie Kreditkarten-Informationen kombiniert SSL asymmetrische und symmetrische Verfahren.

Will ein Kunde seine Bestellung per Kreditkarte zahlen, so füllt er ein Bestellformular mit den entsprechenden Informationen aus. Der Browser baut dann eine verschlüsselte Verbindung zum Server des Händlers auf und überträgt die Daten codiert - in SSL findet keine gegenseitige Identifizierung von Käufer und Verkäufer statt.

Die SSL-Verbindung wird dadurch initiiert, dass anstatt http:// ein https:// als Protokollkennung verwendet wird - also beispielsweise https://www.xyz.de. Der Browser fordert daraufhin vom Server ein Zertifikat zur Authentisierung und seinen öffentlichen Schlüssel (Public Key) an. Dieser Schlüssel wird zusammen mit einer Prüfsumme und einer ID an den Browser zurückgemeldet. Der Browser prüft anhand der übermittelten Daten, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. In den folgenden Phasen verständigen sich die beiden Rechner auf einen symmetrischen Schlüssel (Session Key), der für die eigentliche Datenübertragung verwendet wird.

Größter Nachteil von SSL: Während in den USA mit einer Schlüssellänge von 128 Bit gearbeitet wird, benutzen die Exportversionen der Browser nur 40 Bit. Erst seit kurzem dürfen auch Browser mit 128-Bit-Schlüsseln exportiert werden. Außerdem kann der Händler bei diesem Verfahren nicht überprüfen, ob der Kunde seine eigenen Daten verwendet hat oder fremde. Zudem muss er die Kartendaten selbst in seine Kasse tippen, um sie bei der Kartengesellschaft einzureichen.