Certyfikat SSL należy do najskuteczniejszych i najpowszechniej stosowanych narzędzi, pozwalających na poświadczenie bezpieczeństwa domeny oraz wiarygodności jej właściciela – zapewnia odpowiednie szyfrowanych przesyłanych między serwerem, a użytkownikami. Zanim jednak standard SSL stał się gwarantem utrzymania poufności danych oraz najlepszym zabezpieczeniem sieciowej komunikacji, był przez wiele lat ulepszany i rozwijany.

Początki protokołu SSL

Protokół SSL powstał w 1994 roku, jako dzieło firmy Netscape. Opracowany został jako praktyczne narzędzie, przeznaczone do zabezpieczania transmisji strumienia danych poprzez ich szyfrowanie. Rok później pojawiła się trzecia wersja protokołu, a w 1996 roku zadecydowano o znacznym poszerzeniu zakresu prac nad projektem. Firma Internet Engineering Task Force powołała wówczas specjalną grupę roboczą – Transport Lawyer Security, które zajęła się dalszym rozwijaniem standardu SSL. W 1999 roku doszło do opublikowania wersji TSL 1.0. Protokół ten z powodzeniem działał w architekturze interakcji między klientem i serwerem, pozwalając na wykonywanie bezpiecznych połączeń z wykorzystaniem certyfikatów. Architektura ta zorientowana była przede wszystkim na uwierzytelnianie serwera. Miało to szczególne znaczenie dla sklepów internetowych, których klienci oczekiwali bezpiecznych transakcji. Protokół zapewniał też możliwość uwierzytelniania użytkowników.

Rozwój protokołu SSL

Znaczna część implementacji SSL nie była początkowo w stanie korzystać z kluczy symetrycznych o długości większej, niż 40 bitów. Wynikało to bezpośrednio z ograniczeń eksportu kryptograficznych technologii ze Stanów Zjednoczonych. Szyfr były wówczas w stanie złamać agencje bezpieczeństwa, które dysponowały wystarczająco potężną mocą obliczeniową i zastosowały metodę brute-force. Po upływie kilku lat, stanowisko rządu wobec stosowania większych kluczy uległo złagodzeniu – głównie za sprawą wielu debat, kilku spraw sądowych oraz lepszego poznania SSL przez strony zainteresowane. Obecnie klucze 40-bitowe nie są już stosowane. Zastąpiono je kluczami o długości 128 bitów oraz wyższymi, które zapewniają znacznie większe bezpieczeństwo. W 2009 roku w protokole SSL odkryta została podatność na atak, który mógł być przeprowadzany w procesie renegocjowania sesji. Obecność tego błędu umożliwiała przesyłanie danych do serwera bez wiedzy użytkownika. Podatność nie dotyczyła pojedynczej suplementacji, tylko całego protokołu – jedyną dostępną metodą obejścia problemu było więc całkowite wyłączenie możliwości renegocjacji. Wprowadzono również rozszerzoną poprawę do specyfikacji protokołu.

Wersje protokołu SSL

Pierwsza wersja SSL miała sporą lukę w poziomie bezpieczeństwa. Procedury odpowiedzialne za uzgadnianie szyfru nie zostały odpowiednio zabezpieczone, co umożliwiało osobom trzecim wymuszenie stosowania najsłabszego szyfru. Z jego złamaniem atakujący mogli sobie poradzić dużo łatwiej, niż z szyfrem standardowo wybranym przez zabezpieczoną stronę. W drugiej wersji znacząco zmieniono procedurę negocjacyjną, dzięki czemu problem przestał występować. Wersja SSL 3 wciąż jest dość popularna, jednak coraz mocniej wypierają ją nowsze warianty. Kolejne wersje tego protokołu często zalecane są obecnie jako standard. Certyfikaty SSL w wersji od TLS 1.1 wzwyż wyjaśniają wiele niejednoznaczności, a także dodają zupełnie nowe zalecenia – wynikające zwykle z praktyki użycia. W dniu 21 marca 2018 roku, w dokumencie IETF zaproponowany został nowy standard SSL – TLS 1.3.