Um was geht es überhaupt?

SSL ist ein abgewandeltes TCP Protokoll mit eingebauter Verschlüsselung und optionaler Authentifizierung. D.h. alles, was darüber übertragen wird, ist verschlüsselt und u.U. authentifiziert.

Die Authentifizierung erfolgt über Schlüsseltausch bei direktem persönlichen Kontakt oder über Zertifikate.

Zertifikate werden von eine Zertifikationsinstanz -einer CA- herausgegeben. Was die CA dabei prüft also was das Zertifikat aussagt, steht in der Policy einer CA. Die Gegenstelle holt sich auf einem dritten Wege den CA Schlüssel und die Policy. Danach entscheidet sie sich, ob sie der CA traut.

Soll eine Verbindung aufgebaut werden, so fordert die Gegenstelle vom Server dessen öffentlichen Schlüssel und seine Zertifikate an. Anhand der Zertifikate prüft sie, ob die Zuordnungen des Namens zu dem öffentlichen Schlüssel stimmen. Dabei verläßt sie sich nur auf Zertifikate von CAs, denen sie traut.

Die Gegenstelle kann nun entweder die Verbindung abbrechen oder aufbauen. Baut sie sie auf, ist sie stets verschlüsselt - unabhängig vom Vertrauen.