Sicher sind Sie diesen beiden Buch­sta­ben­kür­zeln bereits begegnet: SSL und TLS, oft auch kom­bi­niert als SSL/TLS. Wenn Sie bei­spiels­wei­se einen E-Mail-Client manuell kon­fi­gu­rie­ren oder eine Website hosten wollen, kommen Sie an ihnen nicht vorbei. Erfahren Sie hier, worin der Un­ter­schied zwischen beiden Pro­to­kol­len liegt.

KI-Assistent kostenlos – Ihr smarter All­tags­hel­fer
  • DSGVO-konform & sicher gehostet in Deutsch­land
  • Pro­duk­ti­vi­tät steigern – weniger Aufwand, mehr Output
  • Direkt im Browser starten – ohne In­stal­la­ti­on

Die Bedeutung von SSL und TLS

SSL steht für „Secure Socket Layer“, TLS für „Transport Layer Security“. Beide sind Ver­schlüs­se­lungs­pro­to­kol­le für die Trans­port­schicht des Internets. Ihre Aufgabe ist es, die Da­ten­strö­me zwischen Client und Server zu ver­schlüs­seln.

Wenn die Kom­mu­ni­ka­ti­on über diese ver­schlüs­sel­te Trans­port­schicht erfolgt, wird an den Pro­to­koll­na­men ein „s“ angehängt: Aus http wird https, aus imap imaps usw. Das Kürzel SSL begegnet Ihnen auch, wenn vom SSL-Zer­ti­fi­kat die Rede ist – dieses Zer­ti­fi­kat ist er­for­der­lich, wenn eine Website über https kom­mu­ni­zie­ren will. Dies trifft heute auf die al­ler­meis­ten In­ter­net­sei­ten zu.

Tipp

Aus­führ­li­che In­for­ma­tio­nen zu TLS finden Sie in unserem wei­ter­füh­ren­den Artikel.

Der Un­ter­schied zwischen SSL und TLS

SSL wurde 1995 ein­ge­führt. Nachdem eine Reihe schwer­wie­gen­der Si­cher­heits­lü­cken entdeckt worden war, erschien zuerst die ver­bes­ser­te Version 2.0 und im dar­auf­fol­gen­den Jahr die Version 3.0. Später verwarf die IETF (Internet En­gi­nee­ring Task Force, die sich um die Wei­ter­ent­wick­lung des Internets kümmert) SSL 3.0, da neue Si­cher­heits­lü­cken entdeckt worden waren.

Hinweis

SSL 2.0 und SSL 3.0 werden mitunter auch als SSLv2 und SSLv3 be­zeich­net.

TLS ist das Nach­fol­ge­pro­to­koll von SSL. Es wurde 1999 als ver­bes­ser­te Version von SSL 3.0 ein­ge­führt und zunächst als SSL 3.1 be­zeich­net. Die heute aktuelle Version ist TLS 1.3 (seit 2018).

Der Schritt von SSL 3.0 zu TLS 1.0 war zunächst nur klein. „Die Un­ter­schie­de zwischen diesem Protokoll (TLS) und SSL 3.0 sind nicht dra­ma­tisch, aber sie sind bedeutsam genug, dass TLS 1.0 und SSL 3.0 nicht zu­sam­men­ar­bei­ten“ (frei übersetzt aus RFC 2246). Gegenüber SSL 3.0 ver­bes­ser­te TLS 1.0 die kryp­to­gra­phi­sche Si­cher­heit und die In­ter­ope­ra­bi­li­tät von An­wen­dun­gen. Die heute ge­bräuch­li­che Version TLS 1.2 bringt erhöhte Si­cher­heit gegenüber Hacker-Angriffen und lässt den An­wen­dun­gen we­sent­lich mehr Fle­xi­bi­li­tät hin­sicht­lich der ver­wen­de­ten Ver­schlüs­se­lung (cipher suites).

Das heutige TLS ist ent­spre­chend sicherer, flexibler und ef­fi­zi­en­ter als das frühere SSL. Da bis heute aber „SSL“ als Abkürzung we­sent­lich bekannter ist als TLS, verwenden viele Anbieter von Client-Software, Routern usw. den Begriff SSL oder al­ter­na­tiv den Dop­pel­be­griff SSL/TLS. Gemeint ist jedoch in aller Regel die aktuelle Version von TLS, also TLS 1.3.

SSL oder TLS – welches soll man verwenden?

Heute kommt aus­schließ­lich TLS infrage. SSL 2.0 und SSL 3.0 sind veraltet und gelten als unsicher. Gleiches gilt für die älteren Versionen von TLS. Nur TLS 1.2 können Sie unter be­stimm­ten Vor­aus­set­zun­gen – die in der Spe­zi­fi­ka­ti­on von TLS 1.3 aus­ge­führt sind – noch verwenden. Vermeiden Sie hingegen alle SSL-Pro­to­kol­le (deren Ver­wen­dung ist in­zwi­schen un­zu­läs­sig) sowie die TLS-Versionen 1.0 und 1.1 (deren Un­ter­stüt­zung demnächst ausläuft). Bei gut kon­fi­gu­rier­ten Servern sind diese ver­al­te­ten Pro­to­kol­le de­ak­ti­viert.

Bild: SSL oder TLS: Screenshot von GlobalSign
Beispiel einer guten Ser­ver­kon­fi­gu­ra­ti­on: Nur TLS 1.2 ist aktiviert. Quelle: https://glo­bal­sign.ssllabs.com/
Tipp

Mit diesem Tool von Glo­bal­Sign können Sie über­prü­fen, welche Ver­schlüs­se­lungs­pro­to­kol­le der Server einer be­stimm­ten Website aktiviert hat.

Zum Hauptmenü