Proposé par Netscape et des organismes financiers, SSL est destiné à sécuriser les communications, conformément à la norme X509, à travers les réseaux TCP/IP. Il gère HTTP, mais aussi FTP et Telnet. Il ne demande pas d'adaptation particulière des éléments du réseau, contrairement à IPSec.

Il existe trois niveaux de sécurisation :

• seul le serveur possède un certificat. La communication peut-être chiffrée, mais les interlocuteurs ne sont pas authentifiés,
• le serveur est reconnu comme autorité de confiance par le client grâce à un certificat et la communication est chiffrée,
• serveur et client sont munis d'un certificat et la communication est totalement sécurisée.

Ce protocole est largement utilisé. Sous Netscape Navigator comme sous Internet Explorer un cadenas fermé est affiché.

Fonctionnement de SSL 2.0

Lorsque le client se connecte au site marchand sécurisé par SSL celui-ci lui adresse un certificat contenant sa clé publique, signée par une autorité de certification (CA), ainsi que le type de clé le plus élévé utilisable (40 bits ou 128 bits).
Le client vérifie la validité du certificat et crée une clé secrète aléatoirement. Il chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat qui devient la clé de session temporaire.
Le serveur déchiffre la clé de session avec sa clé privée. Les deux interlocuteurs possède alors une clé commune secrète. Les échanges sont alors réalisés pendant toute la session au moyen d'un chiffrement symétrique rapide.

TLS (Transport Layer Security)

TLS est la nouvelle version de SSL 3.0, reprise par l'IETF.