Das Secure Hypertext-Transfer-Protocol (SHTTP) geht auf einen Vorschlag der Firma Terisa Systems zurück[4], die es als erste in ihre Produkte integriert hat. SHTTP ist im wesentlichen ein erweitertes HTTP. Der Kommunikationsablauf ist aus diesem Grund fast identisch und lediglich die Nachrichtenformate wurden erweitert.
Um die Integration von SHTTP in bestehende Produkte möglichst einfach zu machen, werden die kompletten HTTP-Nachrichten, die bei einer unverschlüsselten Übertragung verwendet würden, in einer SHTTP-Nachricht verpackt. Die SHTTP-Nachricht als solche ist hierbei unverschlüsselt. Lediglich die in ihr enthaltene HTTP-Nachricht ist verschlüsselt. Abbildung 1 soll dies noch einmal verdeutlichen.
Die Spezifikation von SHTTP wurde mittlerweile im RFC 2260 niedergelegt, welches jedoch bis jetzt nur den Status ,,experimentell`` besitzt. Die Zukunft von SHTTP ist allerdings fraglich, da seine Entwicklung bisher hauptsächlich von Terisa Systems vorangetrieben wurde, welche mittlerweile von der Spyrus Company[5] aufgekauft worden ist. Spyrus selbst scheint jedoch in seinen Produkten den Konkurrenten SSL zu bevorzugen, was eine Weiterentwicklung von SHTTP zumindest fraglich erscheinen läßt.
Das Secure Sockets Layer (SSL) Protokoll ist eine Entwicklung von Netscape Incorporated[6]. Netscape erkannte bereits früh, daß HTTP den steigenden Sicherheitsanforderungen im WWW nicht genügt und entwarf daher ein Protokoll, mit dem sich die Kommunikation über HTTP, aber auch über andere Protokolle wie z. B. das File Transfer Protocol (FTP) absichern läßt.
SSL verfolgt dabei einen vollkommen anderen Ansatz als SHTTP. Während SHTTP auf der Ebene von Nachrichten (HTTP-Anfrage und HTTP-Antwort) arbeitet und dabei das eigentliche HTTP ersetzt, schiebt sich SSL als zusätzliche Schicht zwischen das Transferprotokoll (z. B. TCP/IP) und HTTP. Die HTTP-Nachrichten werden hierbei als Datenstrom vollkommen transparent durch SSL weitergeleitet. Da SSL demnach keine Kenntnis über den Aufbau von HTTP besitzt, ist es auch möglich, andere Protokolle, wie z. B. FTP, das Post Office Protocol (POP3) oder das Internet Mail Access Protocol (IMAP), über SSL zu übertragen. In Abbildung 2 ist dieser Aufbau noch einmal dargestellt.
SSL ist derzeit der ,,de-facto-Standard`` für die sichere Datenkommunikation im WWW. Es wird von allen gängigen Internet-Browsern, sowie von einer Reihe von Web-Servern unterstützt. Die Spezifikation zu SSL wurde Ende 1995 der Internet Engineering Task Force (IETF) zur Standardisierung vorgelegt. Aktuell ist die Version 3.02 von November 1996, welche als Internet-Draft vorliegt.
Das Transport Layer Security (TLS) Protokoll ist eigentlich keine eigenständige Entwicklung, da es direkt auf dem SSL Protokoll basiert. Tatsächlich ist es bis auf einige wenige Erweiterungen identisch mit SSL in der Version 3. Da diese Erweiterungen jedoch eine direkte Kommunikation zwischen einer SSL- und einer TLS-Implementierung verhindern, wurde TLS von der IETF als eigenständiges Protokoll standardisiert, welches die SSL-Implementierungen in Zukunft ablösen soll. Um diesen Migrationsprozeß so einfach wie möglich zu gestalten, enthält die TLS-Spezifikation einen Abschnitt zur Backward-Kompatibilität zu SSL Version 3.
Die aktuelle Version 1.0 des TLS Protokolls ist im RFC 2246[3] von Januar 1999 beschrieben und hat den Status eines ,,Proposed Standard``.
In den nun folgenden Abschnitten wird nur noch auf das Secure Sockets Layer (SSL) Protokoll eingegangen, da es den ,,de-facto-Standard`` darstellt. Das Secure Hypertext Transfer Protocol (SHTTP) ist demgegenüber wenig verbreitet und seine Zukunft ist obendrein fraglich. Es ist zwar anzunehmen, daß das Transport Layer Security (TLS) Protokoll in Zukunft SSL ablösen wird, da es sich in der grundsätzlichen Arbeitsweise jedoch nicht von SSL unterscheidet, wird hier auf eine genauere Beschreibung verzichtet.
