Die Technologie im Zusammenhang mit SSL (Secure Socket Layer) wurde ursprünglich von der Firma Netscape für ihren Browser entwickelt. Die Version 3 wurde von der IETF (Internet Engineering Task Force) übernommen und weiterentwickelt zum TLS (Transport Layer Security), das auch standardisiert wurde. Um genau zu sein, sollte man auch von TLS und nicht von SSL reden, aber letztere ist im allgemeinen Sprachgebrauch geblieben und bezeichnet die Verschlüsselungsverfahren in Zusammenhang mit Webseiten. Konkret fügen diese Technologien dem "http"-Protokoll eine Verschlüsselungsschicht hinzu und machen es damit zu "https", wobei der Buchstabe "s" für "secure" steht. Dies bedeutet, dass die Kommunikation zwischen dem Browser und dem Webserver verschlüsselt ist.

Webseiten, die eine solche Verschlüsselung anbieten wollen, müssen zwingenderweise ein Zertifikat besitzen. Ein Zertifikat besteht aus kryptografischen Daten und Identitätsinformationen. "https" garantiert also nicht nur die Verschlüsselung der kommunizierten Daten, sondern auch die Identität der Webseite.

Die für "https" benutzten Zertifikaten berücksichtigen die X509 Norm. Ein solches Zertifikat enthält untere anderem folgende Informationen:

• Name des Servers, für den das Zertifikat ausgestellt wurde. (z.B.: www.cases.lu);

• Name des Zertifikatsausstellers. (z.B. LuxTrust SA);

• Das Datum, ab dem das Zertifikat gültig ist, und das Datum, an dem das Zertifikat abläuft;

• Der öffentliche Schlüssel des Web-Servers sowie der Algorithmus mit dem der Schlüssel verwendet werden soll;

• Die Unterschrift des Ausstellers des Zertifikats, sowie die zur Generierung verwendete Methode;

So wie bei einem Ausweis, der von einem Land ausgestellt und zertifiziert ist, muss das SSL-Zertifikat auch von einer Zertifizierungsstelle elektronisch unterschrieben sein. Die Unterschrift des Zertifikats wird vom Browser mit Hilfe des Root-Zertifikats der Zertifizierungsstelle überprüft. Alle Browser verfügen über eine Menge von Root-Zertifikaten.
Der Browser warnt den Benutzer falls:

• Das Zertifikat abgelaufen ist;

• es keine Übereinstimmung zwischen dem Domainnamen der Webseite und dem Zertifikat gibt (ein für www.cases.lu erstelltes Zertifikat kann nicht für www.etat.lu verwendet werden);

• das Zertifikat von einer unbekannten Zertifizierungsstelle unterschrieben worden ist (Gefahr eines Missbrauchs von Domain-Namen);

Auch wenn oft der Begriff "sichere Seite" verwendet wird, SSL garantiert nicht für die Sicherheit einer Website, die Schwachstellen enthalten kann, sondern für die Identität und für die Sicherheit der Kommunikation mit der Website.

Wenn Sie zum Beispiel Ihre E-Banking-Seite benutzen, stellt SSL sicher, dass niemand weder Ihr Passwort, noch Ihre Transaktionen lesen kann. Zudem garantiert das Zertifikat, dass Sie sich auf der richtigen Seite befinden. Allerdings garantiert SSL nicht, dass es sich nicht um eine betrügerische Seite handelt oder dass die Webseite keine Schwachstellen hat.