Security auf dem Application Layer

SSL / TLS

In der Praxis hat sich vor allem der Einsatz von HTTP über SSL durchgesetzt. Die URL für einen SSL-basierten HTTP-Zugriff beginnt meist mit https:. Im Unterschied zu S-HTTP ist HTTPS dabei kein eigenes Protokoll, hier erfolgt lediglich der HTTP-Zugriff über SSL. Daneben existieren auch Erweiterungen, mit denen sich FTP, SMTP oder NNTP über SSL absetzen lassen. SSL setzt eine zuverlässige Übertragung auf der Transportebene voraus, so dass in der Regel der Einsatz von TCP gewählt wird.

Im Mai 1996 gründete die IETF eine Arbeitsgruppe Transport Layer Security (TLS), um ein an SSL angelehntes Protokoll zu standardisieren. Ziel war die Harmonisierung der Ansätze von Netscape (SSLv3) und Microsoft (STLP). Nach langen Diskussionen und Wirren konnte im Januar 1999 TLS als RFC 2246 verabschiedet werden. TLS und SSLv3 sind in fast allen Bereichen identisch. Viele Werkzeuge, einschließlich des Microsoft Internet Explorer, unterstützen TLS. Der Netscape Navigator bleibt jedoch bislang außen vor.

SSL liegt in einer Reihe von offenen Implementierungen vor. Insbesondere sind die Bibliotheken von OpenSSL zu nennen, die alle notwendigen Routinen zum Erstellen eigener Programme und Werkzeuge zur Generierung asymmetrischer Schlüssel und X.509-Zertifikate beinhalten.