Secure Sockets Layer (SSL) es un protocolo diseñado por Netscape Communications,  dispone de un nivel seguro de transporte entre el servicio de transporte en Internet (TCP) y las aplicaciones que se comunican a través de él. Proporciona conexiones seguras sobre una red insegura como es Internet, asegurando las siguientes características: 
1. Conexión privada: la información se cifra utilizando criptografía de clave simétrica (IDEA, DES, etc). 
2. Autenticación: del servidor por medio de certificados digitales, y del cliente utilizando criptografía de clave asimétrica (RSA,EL GAMAL, etc). 
3. Integridad: la integridad de los mensajes se asegura usando funciones hash seguras (MD5, SHA-1, etc). 
Además, proporciona características adicionales: 
1. Extensibilidad: es capaz de soportar nuevos protocolos, métodos de cifrado, etc. 
2. Eficiencia: al utilizar compresión, minimiza el tiempo necesario para establecer la conexión. 
3. Compatibilidad: productos con diferentes versiones de SSL pueden interoperar entre sí. 
SSL se compone de dos partes diferenciadas: 
1. Handshake Protocol: se encarga de establecer la conexión y determinar los parámetros que se van a utilizar posteriormente (fundamentalmente se trata de establecer cual va a ser la clave simétrica que se utilizará para transmitir los datos durante esa conexión). 
2. Record Protocol: comprime, cifra, descifra y verifica la información que se transmite. 
Este sistema es transparente para las aplicaciones finales, es totalmente independiente del protocolo de aplicación usado. Por tanto, podemos situar protocolos como HTTP, FTP, o Telnet. 
FIGURA 7.1 A PRUEBA HACKERS PAG179

3.1.1 Funcionamiento
El denominado Handshake Protocol se compone de dos fases, autenticación de servidor y autenticación de cliente, no siendo obligatoria esta última. En primer lugar, el servidor, respondiendo a una petición del cliente, le envía su certificado y las preferencias en cuanto a algoritmos de cifrado se refiere. En ese momento, el cliente genera una clave maestra, la cifra con la clave pública del servidor y la transmite al servidor. El servidor recobra la clave maestra y se autentica respecto al cliente devolviendo un mensaje cifrado con la clave maestra. Los datos siguientes son cifrados con claves derivadas de esta clave maestra. 
En la segunda fase opcional, el servidor envía un reto al cliente. Éste se autentica respecto al servidor retornándole el reto firmado digitalmente por el cliente, así como su certificado (el cual incluye su clave pública). 
A partir de aquí, lo demás consiste en cifrar y descifrar la información que transmitida, en el protocolo  de aplicación utilizado.

3.1.2 Algoritmos utilizados
SSL soporta gran variedad de algoritmos criptográficos. Durante la fase de acuerdo o "handshaking", se utiliza RSA (clave pública). Después del intercambio de claves, se usan unos cuantos algoritmos, entre los que se incluyen RC2, RC4, IDEA, DES y Triple-DES. Como función resumen se usa MD5 o SHA-1. Los certificados siguen el formato X.509. 
3.1.3 Implementación (CUIDADO ESTÁ INCOMPLETO )
Los diferentes protocolos que utilizan los servicios de SSL usan puertos diferentes a los que les correspondería si no fuesen sobre SSL. La IANA ha reservado los siguientes puertos para su uso por SSL: 
· 433: HTTP sobre SSL (https) 
· 465: SMTP (correo electrónico) sobre SSL (ssmtp), no confirmado. 
· 563: NNTP (servicio de noticias, News) sobre SSL (snntp), no confirmado. 
El protocolo SSL está ampliamente extendido. La presencia de https:// en el URL de un servidor indica que se trata de un servidor "seguro" y que debe utilizarse SSL en la comunicación entre dicho servidor y cliente (navegador). Esto queda indicado (en el caso de Netscape Navigator) de la siguiente forma: 
· la llave de la parte inferior izquierda del navegador aparece completa, no partida como habitualmente (en los casos del MS Internet Explorer y de Netscape Communicator es un candado cerrado el que aparece en la esquina inferior izquierda). 
· aparece una línea azul en el límite superior de la línea de visualización de la pantalla del navegador. 
· la información del documento alojado en el servidor seguro incluye los datos del certificado que avala al servidor seguro. 
Los servidores más populares de la empresa Netscape (Commerce Server, FastTrack Server y Enterprise Server) soportan SSL, con las habituales limitaciones de exportación (clave RC4 de 40 bits para los productos vendidos fuera de EE.UU. o Canadá). El servidor más extendido a escala mundial, Apache, posee una versión SSL, Stronghold, con la ventaja añadida de que, al haber sido desarrollado fuera de los EE.UU., puede vender la versión "completa" de SSL con claves de 128 bits. El servidor de Microsoft, Internet Information Server 2.0, que viene de serie con Windows NT 4.0 no soporta SSL. Las últimas versiones (IIS 4.0) soportan plenamente el estándar (junto con protocolos propios como PCT). 
Conclusión
A diferencia de S-HTTP, que es un protocolo substitutivo de HTTP, SSL extiende su soporte a otros protocolos habituales en Internet. Esta es una de las principales ventajas que aporta este último. Mientras que S-HTTP proporciona cifrado en el nivel de aplicación (en este caso WWW), SSL lo hace en el nivel de conexión, proporcionando un canal seguro en el nivel de red. Por lo demás, S-HTTP y SSL pueden convivir, utilizándose uno u otro en diferentes instantes de una transacción comercial, o incluso utilizándose simultáneamente. 
El sistema es tan robusto como lo sea el menos seguro de los algoritmos que utilice. Claves públicas cortas o claves DES o RC4 de 40 bits deben utilizarse con precaución. Estos son los problemas que plantean las leyes de EE.UU. 
La principal desventaja de SSL no estriba en sus fundamentos teóricos o implementación, sino, fundamentalmente, la menor protección que proporcionan las versiones exportables de los productos basados en este protocolo. 
También debe tenerse especial cuidado en decidir qué autoridades de certificación y qué certificados son fiables.