Головним призначенням SSL-протоколу, є забезпечення приватного і надійного способу обміну інформацією між двома віддалено взаємодіючими додатками. Протокол реалізується у вигляді двошарової (багатошарової) середовища, спеціально призначеної для безпечного перенесення секретної інформації, через НЕ засекречені канали зв'язку. В якості першого шару, в такому середовищі використовується деякий надійний транспортний протокол; TCP наприклад. По слову "транспортний", не важко здогадатися, що TCP бере на себе функції "несучої", і в подальшому, стає візником, для всіх лежать вище шарів (протоколів). Другим за рахунком шаром, що накладається на TCP, є SSL Record Protocol. Разом, ці два шари, TCP і SSL Record Protocol, формують своєрідне ядро SSL. Надалі, це ядро стає первинної герметизуючої оболонкою, для всіх наступних більш складних протокольних інфраструктур. В якості однієї з таких структур, використовується SSL Handshake Protocol - дозволяє серверу та клієнту ідентифікувати один одного і погоджувати криптографічні алгоритми і ключі, перед тим як додатки, що працюють на серверній і клієнтській стороні, зможуть почати передачу або прийом інформаційних байтів в захищеному режимі.
Одним з багато важливих переваг SSL, є його повна програмно-платформна незалежність. Протокол розроблений на принципах переносимості, і ідеологія його побудови, не залежить, від тих додатків, в складі яких він використовується. Крім цього, важливо і те, що над протоколом SSL, можуть прозоро накладатися і інші протоколи; або для ще більшого збільшення ступеня захисту цільових інформаційних потоків, або, для адаптації криптографічних здібностей SSL під якусь іншу, цілком певне завдання.
На практиці, процес обміну ключами і сертифікатами, іноді може займати відносно багато часу. З цією метою, часто передбачається можливість повторного використання одних і тих же ідентифікаційних даних. Бувають ситуації, коли після встановлення з'єднання з SSL-сервером, у користувача з'являється бажання відкрити ще одне вікно браузера, і через нього, здійснити ще одне підключення до того ж SSL-сервера. У цьому випадку, щоб не повторювати весь цикл попередніх обмінних операцій, браузер може відправити сервера ідентифікатор сесії попереднього з'єднання, і якщо сервер прийме цей ідентифікатор, весь набір шіфровочних і компресійних параметрів, буде взято від попереднього з'єднання. Браузери від Netscape, також можуть здійснювати і так званий "keep alive" запит. При цьому по завершенню передачі зашифрованих даних, встановлене SSL-з'єднання закривається не відразу, а лише через деякий час.
Ложка дьогтю
SSL як такої, теоретично, може забезпечити практично повний захист будь-якого Інтернет з'єднання. Але, будь-яка річ у цьому світі не існує в порожнечі. Це означає, що для успішного функціонування SSL, крім нього самого, необхідні також і чисто програмні засоби, втілювати технологію SSL в життя. Програми, так чи інакше використовують SSL протокол, як не дивно, є часом найбільш вразливим місцем цієї технології. Саме через помилки в цих програмах, можлива майже повна втрата, всіх, досягнутих після використання SSL щитів і заслонів. До таких програмних інструментів, перш за все, відносяться активно використовуються нами Інтернет-браузери.
Одним з найбільш показових критеріїв рівня захисту, є розмір використовуваних ключів або, кажучи інакше, стійкість використовуваного шифру. Чим більше цей розмір, тим відповідно надійніше захист. Браузери в основному використовують три розміри: 40, 56 і 128 біт, відповідно. Причому, 40-а бітний варіант ключа досить не надійний; його цілком можна розкрити менше ніж за добу. Таким чином, краще використовувати саме 128-ми бітові ключі. Стосовно до Internet Explorer-у від Microsoft, це означає завантаження додаткового пакета (security pack). Так як інтернаціональні версії цього браузера, завжди забезпечуються виключно 40-а або 56-и бітної захистом, а 128-ми бітна захист, ставиться тільки на північноамериканські версії цього браузера (США, Канада). Для того щоб встановити, який саме розмір ключа використовується в вашому браузері, в Netscape Navigator вам досить відкрити підміню "Options / Security Preferences", а в Internet Explorer, підміню "Help / About".
Але всі ці та їм подібні діри, не йдуть ні в яке порівняння з тією загрозою, яку можуть представляти для користувача вчасно не відкликані сертифікати. Справа в тому, що браузери зазвичай поставляються з таким собі, цілком певним набором дійсних сертифікатів, але автоматичного механізму перевірки цієї придатності через деякий час - не існує. Таким чином, можливо, що дія, того чи іншого, використовуваного вашим браузером сертифіката, вже, давно скінчилося; міг закінчитися термін придатності, міг бути втрачений контроль над особистим ключем відповідним до сертифіката і.т.д. У будь-якому з цих випадків, сертифікат автоматично відкликається, і поміщається в спеціальний, так званий revocation list, або список непридатних сертифікатів, створюваний і оновлюваний тим чи іншим сертифікаційним співтовариством (CA). Тепер, якщо не видалити такий сертифікат з вашого браузера, він як і раніше буде значитися як придатний, з усіма наслідками, що випливають звідси наслідками.
Тут, мабуть варто зупинитися, і підвести якусь фінальну межу, під всім вищесказаним. Ідея, закладена в протоколі SSL безумовно, хороша. Хоча у неї є і свої плюси, і свої мінуси, але в цілому, цей протокол можна назвати одним з найбільш вдалих рішень проблеми захисту даних при їх поширенні "відкритим" каналом. Цей протокол цілком би міг стати якоюсь мережевий панацеєю. Але, на жаль, практика, показує що ідея це ще не рішення. Без відповідної практичної складової, ідей так і залишається ідеєю, а тому, користувачі безумовно, повинні пам'ятати, що символ замку, з'являється в рядку стану їх Інтернет-браузерів, ще не гарантія того, що всі ваші секрети і таємниці знаходяться під дійсно надійним захистом.