TLS vs. SSL – was ist der Unterschied?
Sicher sind Sie diesen beiden Buchstabenkürzeln bereits begegnet: SSL und TLS, oft auch kombiniert als SSL/TLS. Wenn Sie beispielsweise einen E-Mail-Client manuell konfigurieren oder eine Website hosten wollen, kommen Sie an ihnen nicht vorbei. Erfahren Sie hier, worin der Unterschied zwischen beiden Protokollen liegt.
- Inklusive Wildcard-SSL-Zertifikat
- Inklusive Domain Lock
- Inklusive 2 GB E-Mail-Postfach
Die Bedeutung von SSL und TLS
SSL steht für „Secure Socket Layer“, TLS für „Transport Layer Security“. Beide sind Verschlüsselungsprotokolle für die Transportschicht des Internets. Ihre Aufgabe ist es, die Datenströme zwischen Client und Server zu verschlüsseln.
Wenn die Kommunikation über diese verschlüsselte Transportschicht erfolgt, wird an den Protokollnamen ein „s“ angehängt: Aus http wird https, aus imap imaps usw. Das Kürzel SSL begegnet Ihnen auch, wenn vom SSL-Zertifikat die Rede ist – dieses Zertifikat ist erforderlich, wenn eine Website über https kommunizieren will. Dies trifft heute auf die allermeisten Internetseiten zu.
Ausführliche Informationen zu TLS finden Sie in unserem weiterführenden Artikel.
Der Unterschied zwischen SSL und TLS
SSL wurde 1995 eingeführt. Nachdem eine Reihe schwerwiegender Sicherheitslücken entdeckt worden war, erschien zuerst die verbesserte Version 2.0 und im darauffolgenden Jahr die Version 3.0. Später verwarf die IETF (Internet Engineering Task Force, die sich um die Weiterentwicklung des Internets kümmert) SSL 3.0, da neue Sicherheitslücken entdeckt worden waren.
SSL 2.0 und SSL 3.0 werden mitunter auch als SSLv2 und SSLv3 bezeichnet.
TLS ist das Nachfolgeprotokoll von SSL. Es wurde 1999 als verbesserte Version von SSL 3.0 eingeführt und zunächst als SSL 3.1 bezeichnet. Die heute aktuelle Version ist TLS 1.3 (seit 2018).
Der Schritt von SSL 3.0 zu TLS 1.0 war zunächst nur klein. „Die Unterschiede zwischen diesem Protokoll (TLS) und SSL 3.0 sind nicht dramatisch, aber sie sind bedeutsam genug, dass TLS 1.0 und SSL 3.0 nicht zusammenarbeiten“ (frei übersetzt aus RFC 2246). Gegenüber SSL 3.0 verbesserte TLS 1.0 die kryptographische Sicherheit und die Interoperabilität von Anwendungen. Die heute gebräuchliche Version TLS 1.2 bringt erhöhte Sicherheit gegenüber Hacker-Angriffen und lässt den Anwendungen wesentlich mehr Flexibilität hinsichtlich der verwendeten Verschlüsselung (cipher suites).
Das heutige TLS ist entsprechend sicherer, flexibler und effizienter als das frühere SSL. Da bis heute aber „SSL“ als Abkürzung wesentlich bekannter ist als TLS, verwenden viele Anbieter von Client-Software, Routern usw. den Begriff SSL oder alternativ den Doppelbegriff SSL/TLS. Gemeint ist jedoch in aller Regel die aktuelle Version von TLS, also TLS 1.3.
SSL oder TLS – welches soll man verwenden?
Heute kommt ausschließlich TLS infrage. SSL 2.0 und SSL 3.0 sind veraltet und gelten als unsicher. Gleiches gilt für die älteren Versionen von TLS. Nur TLS 1.2 können Sie unter bestimmten Voraussetzungen – die in der Spezifikation von TLS 1.3 ausgeführt sind – noch verwenden. Vermeiden Sie hingegen alle SSL-Protokolle (deren Verwendung ist inzwischen unzulässig) sowie die TLS-Versionen 1.0 und 1.1 (deren Unterstützung demnächst ausläuft). Bei gut konfigurierten Servern sind diese veralteten Protokolle deaktiviert.
Mit diesem Tool von GlobalSign können Sie überprüfen, welche Verschlüsselungsprotokolle der Server einer bestimmten Website aktiviert hat.