Die Geschichte der Internetsicherheit ist eng verbunden mit der Entwicklung von Protokollen, die sichere Kommunikation zwischen Computern gewährleisten. Eines der wichtigsten Kapitel dieser Geschichte betrifft die Entstehung von SSL und dessen spätere Umbenennung zu TLS. Obwohl die Begriffe SSL (Secure Sockets Layer) und TLS (Transport Layer Security) oft synonym verwendet werden, steckt hinter der Umbenennung eine komplexe Geschichte, die technologische Innovationen, wettbewerbsbedingte Konflikte und Standardisierungsprozesse umfasst. Einen guten Einblick in diesen Wandel gibt Tim Dierks, ein Experte und Mitautor der SSL 3.0 Spezifikation, der im Jahr 2014 über die Hintergründe berichtete.
SSL wurde ursprünglich von Netscape entwickelt, einem der Pioniere des frühen Web-Browsings in den 1990er Jahren. Die allererste Version des Protokolls, SSL 1.0, wurde jedoch nie veröffentlicht, da sie zahlreiche kryptographische Schwächen aufwies, die das Protokoll unsicher machten. Der erste echte Einsatz fand mit SSL 2.0 statt, das 1995 mit Netscape Navigator 1.
1 veröffentlicht wurde. Obwohl SSL 2.0 einen großen Schritt hin zu sicherer Kommunikation machte, war das Protokoll nicht fehlerfrei. Es wies sowohl kryptographische als auch praktische Schwachstellen auf, die jedoch zu diesem Zeitpunkt noch nicht als so katastrophal galten, dass ein sofortiger Ersatz notwendig war. Parallel zu Netscape entwickelte Microsoft zu dieser Zeit sein eigenes Verständnis von Internetsicherheit.
Als Gegenstück zu SSL 2.0 spezifizierte Microsoft das Protokoll PCT (Private Communications Technology), das auf SSL 2.0 aufbaute, aber mit zusätzlichen Erweiterungen. PCT wurde allerdings nur in Microsofts eigener Software wie dem Internet Explorer und dem Server IIS verwendet und gewann keine breite Akzeptanz. Diese Situation reflektierte die angespannten Wettbewerbsverhältnisse zwischen Netscape und Microsoft, die in den sogenannten Browserkriegen der 1990er Jahre austrugen.
Beide Unternehmen standen in scharfer Konkurrenz zueinander und jeder versuchte, die Kontrolle über etablierte Standards für sichere Kommunikation zu erlangen. Netscape war jedoch fest entschlossen, seine Führungsposition zu verteidigen. Aus diesem Grund entwickelte das Unternehmen SSL 3.0, das 1996 mit Netscape Navigator 2 veröffentlicht wurde. SSL 3.
0 stellte einen bedeutenden Fortschritt gegenüber früheren Versionen dar und eliminierte viele Schwächen von SSL 2.0. Zudem wurde es wesentlich robuster und sicherer ausgelegt. Doch auch hier gab es immer noch offene Fragen und Interessen seitens der Industrie, das Protokoll in einem offenen, standardisierten Rahmen weiterzuentwickeln. In der Branche wurde klar, dass ein geteiltes Prozedere, bei dem Microsoft und Netscape ihre eigenen, nicht kompatiblen Protokolle verfolgten, nicht wünschenswert war.
Ein solcher Flickenteppich hätte die Sicherheit und Interoperabilität des Internets gefährdet. Entfernt betrachtet war es daher nur logisch, dass die großen Player sich einigen mussten, um einen gemeinsamen Standard zu etablieren, der sowohl offen als auch interoperabel war. Diese Einigung fand schließlich dank der Initiative von Organisationen wie der IETF (Internet Engineering Task Force) statt. Tim Dierks, der damals bei Consensus Development arbeitete und den SSL 3.0 Referenzcode unter Vertrag für Netscape entwickelte, organisierte ein Treffen der wichtigsten Beteiligten, darunter Vertreter von Netscape, Microsoft und weiteren Experten wie Bruce Schneier und Paul Kocher.
Bei diesem Treffen wurde verhandelt, wie SSL 3.0 als Basistechnologie für ein neues, gemeinsames Protokoll genutzt werden konnte, ohne dass es ausschließlich als Netscape-Technologie wahrgenommen wurde. Ein Ergebnis dieser Verhandlungen war, dass das Protokoll umbenannt und modifiziert werden musste. Die Umbenennung sollte signalisieren, dass das neue Protokoll eine weiterentwickelte Version war, die von der gesamten Industrie getragen und standardisiert wurde. Somit wurde aus SSL 3.
0 formal TLS 1.0 (Transport Layer Security) – im Prinzip SSL 3.1, aber mit dem neuen Namen, der Frische und Neutralität signalisieren sollte. TLS ist seitdem der dominierende Standard für sichere Kommunikation im Internet. Es wurde in zahlreichen RFCs (Requests for Comments) dokumentiert und von der IETF offiziell standardisiert.
Die Weiterentwicklungen von TLS haben seit der ersten Version 1.0 mehrfach zu neuen Versionen geführt, die Schwachstellen behoben und die Verschlüsselung weiter gestärkt haben. Somit kann man TLS heute als evolutionären Nachfolger von SSL betrachten, der die Ideen und Konzepte von SSL in eine breitere, zukunftsfähige und geschlossene Standardisierung überführt hat. Rückblickend mag die Umbenennung, die Ende der 1990er Jahre vollzogen wurde, als rein kosmetische oder bürokratische Maßnahme erscheinen. Doch in Wahrheit spiegelte sie ein komplexes Wechselspiel aus technischem Fortschritt, Marktkriegen und der Notwendigkeit wider, Sicherheit offen und interoperabel zu gestalten.
Ohne diesen Schritt wäre die heutige Sicherheit im Internet vermutlich so nicht denkbar gewesen. Der Wettstreit zwischen Netscape und Microsoft zeigte dabei exemplarisch, wie spannend und schwierig die Etablierung von Standards in einem schnell wachsenden und dynamischen Feld wie der Internetsicherheit sein kann. Überraschend ist vor allem, wie eng Technologieentwicklung und gesellschaftliche sowie ökonomische Kräfte verknüpft sind. Die Erkenntnisse der frühen Jahre haben bis heute Einfluss auf die Entwicklung neuer Sicherheitsstandards, die in Zeiten von Cyberangriffen und Datenmissbrauch immer wichtiger werden. Abschließend lässt sich sagen, dass die Transformation von SSL zu TLS nicht nur eine technische Geschichte ist, sondern auch von der Kunst der Zusammenarbeit, der Verhandlung und der strategischen Weichenstellung geprägt wurde.
Jede Version von TLS baut auf den Grundlagen von SSL auf und erweitert diese mit Verbesserungen, die sowohl aus Erkenntnissen vergangener Fehler als auch aus dem Wunsch nach einem offenen Standard resultieren. Für Sicherheitsexperten, Entwickler und Verantwortliche in Unternehmen lohnt es sich, dieses Kapitel der Internetsicherheit zu verstehen. Denn der Blick zurück auf erfahrene Entwicklungsphasen und den Einfluss großer Marktteilnehmer hilft, die Bedeutung von offenen Standards zu schätzen und die Herausforderungen von heute besser zu meistern. TLS ist mehr als nur ein Name: Es ist das Symbol für eine gemeinschaftliche Anstrengung, das Internet zu einem sicheren Ort zu machen.
![MXSS Attacks: Attacking well-secured Web Apps by using innerHTML Mutations [pdf]](/images/30C35D38-50C0-4017-9C71-2372BF1BBBC0)
![Geometry and the Imagination [pdf]](/images/175ED998-2FEF-4C84-82EF-D12BE85CD4C9)