1. Warum: Weil die Kommunkation zwischen Server und Browser über Zwischenstationen läuft - im allgemeinen etwa 5-15 an der Zahl. An jeder dieser Zwischenstationen kann der Datenverkehr (vom Betreiber der Zwischenstation) abgehört werden. Schützenswerte Daten (Finanzdaten, Passwörter, Gesundheitsdaten usw.) werden deshalb oft verschlüsselt übertragen.



2. Die gewählte Verschlüsselungsmethode hängt von den Fähigkeiten des Servers wie auch des Browsers und dem verwendeten Protokoll ab.

Mögliche Protokolle sind SSL 2.0, SSL 3.0, TLS 1.0 und TLS 1.1.

Zunächst einigen sich Browser und Server auf ein Protocol - meist wird SSL 3.0 oder TLS 1.0 eingesetzt.

Im darauffolgenden so genannten "Handshake" einigen sich Browser und Server auf ein Verschlüsselungsverfahren ("Cipher" oder dt. "Chiffre"), und ein Keyaustauschverfahren, das von beiden Parteien unterstützt wird.



Die meisten Browser und Server unterstützen eine ganze Reihe verschiedener Cipher und diese jeweils mit unterschiedlichen Schlüssellängen. Gängig und sicher sind



AES (128 od. 256 Bit Schlüssellänge)

3DES (156 Bit Schlüsselänge)

RC4 (128 Bit Schlüssellänge)



Eine verschlüsselte Verbindung erkennt man im Browser am Schloss-Icon und dem "https://" am Anfang der URL.

Details über die verwendeten Cipher und Protokolle verraten die meisten Browser über einen Klick auf das Schloß-Icon.



Unter http://www.serversniff.de/content.php?do=ssl gibt es einen Check, der prüft, welche Protokolle und Verschlüsselungsverfahren ein HTTPS-Server unterstützt und welche Verfahren der Server dem Browser als erstes anbietet - sofern der Browser das unterstützt (das ist so gut wie immer der Fall), kommt dieses Verfahren zum Einsatz.

Sollte man bei jeder Sicherheitskritischer Interaktion anwenden.

SSL (Secure Sockets Layer) oder auch Transport Layer Security (TLS) gennant wird genutzt um Sicherung der Nachrichten-Integrität und Authentizität durch Bildung einer kryptografischen Prüfsumme u.a. SHA-1 und MD5 zu gewährzuleisten.