SSL und TLS sind austauschbare Akronyme, wenn man sie neben den Begriff “Zertifikat” stellt, aber im Grunde handelt es sich um unterschiedliche kryptografische Protokolle, die die gleiche Aufgabe erfüllen sollen. In diesem ultimativen SSL- vs. TLS-Leitfaden werfen wir einen genaueren Blick auf die beiden Protokolle und ihre unterschiedlichen Merkmale, damit Sie den Unterschied zwischen SSL und TLS kennen.
Bevor wir in die technischen Details von SSL und TLS eintauchen, sollten wir uns die gesamte SSL-Branche aus der Vogelperspektive ansehen und herausfinden, warum sie eine entscheidende Rolle für die heutige Web-Sicherheit spielt.
Inhaltsübersicht
- Was sind SSL/TLS-Zertifikate?
- Eine kurze Geschichte der SSL/TLS-Zertifikate
- Was ist der Unterschied zwischen SSL- und TLS-Zertifikaten?
- Was ist der Unterschied zwischen SSL- und TLS-Verschlüsselung?
- Was ist sicherer, SSL oder TLS?
- Wenn SSL jetzt TLS ist, warum nennen wir sie dann nicht TLS-Zertifikate?
- Abschließende Überlegungen
Was sind SSL/TLS-Zertifikate?
Ein SSL/TLS-Zertifikat ist eine kleine digitale Datei, die sensible Daten bei der Übertragung zwischen zwei Computeranwendungen über ein Netzwerk schützt. Und da das Internet das größte Computernetzwerk ist, sind SSL-Zertifikate ein wesentlicher Bestandteil jeder Website.
Standardmäßig werden alle Informationen, die der Benutzer einer Website mitteilt, im Klartext über HTTP (Hypertext Transfer Protocol) vom Browser zum Webserver übertragen. Dieses Client-Server-Protokoll ist anfällig für Cyber-Bedrohungen, insbesondere für Man-in-the-Middle-Angriffe, mit denen sensible Daten wie Kreditkartennummern abgefangen und gestohlen werden können. Um dies zu verhindern, haben Informatiker die SSL- und TLS-Protokolle erfunden, denen digitale Zertifikate folgen. So funktioniert das Ganze in der Praxis:
Nehmen wir an, Sie haben ein Online-Geschäft, das Kristalle verkauft. Wenn Kunden auf Ihre Kassenseite kommen, geben sie die Zahlungsdaten ein und klicken auf die Schaltfläche “Kaufen”. Jetzt werden alle Informationen direkt vom Browser auf Ihren Server übertragen. Wenn das HTTPS-Protokoll aktiviert ist, sehen die Daten für einen potenziellen Hacker wie eine zufällige Zeichenfolge aus und nicht wie die tatsächlichen Namen, Adressen und Kreditkartennummern.
Das Knacken der SSL/TLS-Verschlüsselung übersteigt die menschlichen Fähigkeiten. Aus diesem Grund sind SSL-Zertifikate heute für jede Website obligatorisch. Ohne sie werden die Verbindungen von den Browsern als nicht sicher eingestuft. Schlimmer noch: Die Website erscheint nicht in den Ergebnislisten der Suchmaschinen.
Wie erhalten Sie ein SSL-Zertifikat? Sie erhalten sie von einer Zertifizierungsstelle, einer Drittpartei, die den Besitz der Domäne und, falls erforderlich, den rechtlichen Status des Unternehmens bestätigt. Als Nächstes installieren/laden Sie die Zertifikatsdateien auf den Server Ihrer Website und aktivieren das sichere HTTPS-Protokoll. Das war’s! Ihre Website ist sicher, und die Daten der Nutzer sind geschützt.
Eine kurze Geschichte der SSL/TLS-Zertifikate
In den 90er Jahren gab es die ersten Websites und Browser sowie die erste sichere Einzelhandelstransaktion über das Internet. Doch wie so oft bei frühen Versionen wimmelte es auch bei der ersten Version von SSL (Secure Sockets Layer) nur so von Sicherheitslücken. Sie war so schwach, dass sie nie veröffentlicht wurde.
1995 veröffentlichte Netscape SSL 2.0 für den allgemeinen Gebrauch und ein Jahr später das erweiterte SSL 3.0-Protokoll. Noch immer nicht zufrieden mit der Sicherheitsleistung, schloss sich Netscape 1999 mit seinem Konkurrenten Microsoft zusammen und entwickelte ein brandneues kryptografisches Protokoll namens TLS (Transport Layer Security).
TLS 1.0 war fast identisch mit SSL 3.0, aber mit jeder neuen Version wurde es sicherer. TLS 1.2 ist bald 15 Jahre alt, wird aber immer noch häufig verwendet. Die neueste Version von TLS 1.3 bietet die meisten Verbesserungen und wird nun kontinuierlich im gesamten Internet eingeführt.
Nachdem wir uns nun kurz mit der Geschichte von SSL und TLS befasst haben, wollen wir sehen, welche Gemeinsamkeiten und Unterschiede es gibt.
Was ist der Unterschied zwischen SSL- und TLS-Zertifikaten?
Für den Durchschnittsnutzer haben SSL oder TLS keine große Bedeutung. Solange das Vorhängeschloss-Symbol neben der URL einer Website angezeigt wird, ist die Verwendung dieser Website sicher. Sie sollten sich auch keine Gedanken über SSL- oder TLS-Zertifikate machen, wenn Sie eines kaufen. Es ist wichtig, zwischen Zertifikaten und Protokollen zu unterscheiden.
Bei den Zertifikaten handelt es sich um digitale Dateien, die die Identität Ihres Servers authentifizieren, so dass die Browser über kryptografische Protokolle eine sichere Verbindung herstellen können. Diese Kommunikationsprotokolle ermöglichen es zwei Parteien, Daten unter Wahrung der Vertraulichkeit und Integrität auszutauschen.
Heute unterstützen die meisten Websites die Protokolle TLS 1.2 und TLS 1.3, während die SSL-Versionen nicht mehr in Gebrauch sind. Technisch gesehen verwendet jeder TLS-Zertifikate, unabhängig davon, wie wir sie nennen. Wenn wir uns also ausschließlich auf Zertifikate beziehen, gibt es im Jahr 2023 keinen Unterschied zwischen SSL und TLS. Was die Protokolle anbelangt, so wurde mit jeder neuen TLS-Version der SSL-Vorgänger überflüssig.
Was ist der Unterschied zwischen SSL- und TLS-Verschlüsselung?
Wenn wir SSL mit TLS vergleichen, ist die Verschlüsselung nur ein Teil des Handshakes zwischen einem Client und einem Server. SSL 2.0 verwendet nur den RSA-Schlüsselaustausch (Rivest Shamir Adleman), während SSL 3.0 und die TLS-Versionen auch den Diffie-Hellman-Schlüsselaustausch (DH) unterstützen. Mit TLS 1.2 wurde die Unterstützung für elliptische Kurvenverschlüsselung eingeführt, während in TLS 1.3 die RSA-Verschlüsselung entfernt wurde.
Alle diese Verschlüsselungstechniken verwenden komplexe Algorithmen, so genannte Cipher Suites, um die ursprüngliche Klartextnachricht in einen verschlüsselten Chiffretext umzuwandeln, aber sie haben eines gemeinsam: die Public-Key-Kryptografie.
Bei der Public-Key-Kryptografie oder asymmetrischen Kryptografie werden unterschiedliche Schlüssel zum Ver- und Entschlüsseln von Daten verwendet. Und so funktioniert es:
Angenommen, John möchte Jane eine geheime Nachricht übermitteln. Jane hat sowohl einen öffentlichen als auch einen privaten Schlüssel, also bewahrt sie ihren privaten Schlüssel an einem sicheren Ort auf und sendet ihren öffentlichen Schlüssel an John. John verschlüsselt die geheime Nachricht mit dem öffentlichen Schlüssel von Jane. Jane kann sie später mit ihrem privaten Schlüssel entschlüsseln. Was aber, wenn Tom sich als Jane ausgibt? Wie wird John Jane vertrauen? Geben Sie digitale Signaturen und Zertifizierungsstellen (CAs) ein.
Die SSL/TLS-Zertifikate werden von einer Zertifizierungsstelle digital signiert, die die Signatur mit ihrem privaten Schlüssel erstellt und den Inhaber, in unserem Fall Jane, identifiziert.
Wie Sie sehen können, versuchen sowohl SSL- als auch TLS-Protokolle dasselbe zu erreichen, aber mit jeder neuen TLS-Version unterscheiden sich der Ansatz und die Sicherheitsfortschritte deutlich von den frühen SSL-Versionen.
TLS beispielsweise verwendet weniger, aber effizientere Chiffriersuiten, die keinen Raum für Hacker lassen. Die Chiffriersuiten bieten Perfect Forward Secrecy (PFS ) und akzeptieren jede Schlüssellänge. Andererseits unterstützt SSL mit PFS nur eine Cipher Suite, die einen 1024-Bit-RSA-Schlüssel verwendet.
Der wohl größte Unterschied zwischen SSL und TLS ist die Authentifizierung der Nachrichten. SSL verwendet Nachrichtenauthentifizierungscodes (MACs), um die Integrität der Nachrichten während der Übertragung zu gewährleisten. TLS verwendet keine MACs, sondern stützt sich auf Verschlüsselung, um Manipulationen zu verhindern.
Was ist sicherer, SSL oder TLS?
Als sich das Internet weiterentwickelte und Cyber-Bedrohungen immer häufiger auftraten, waren die alten SSL-Protokolle zu schwach, um dem Ansturm der Angriffe standzuhalten. Die erste SSL-Version wurde nicht einmal in Betrieb genommen, und auch die nächste Version war kein fertiges Produkt. Mit SSL 3.0 wurden die Mängel des Vorgängers behoben, während die ersten beiden TLS-Versionen nur geringfügige Änderungen brachten.
Deutliche Verbesserungen gab es mit TLS 1.2, und mit TLS 1.3 wurden sie auf ein neues Niveau gehoben und einige der Kernkonzepte neu definiert. Heute sind die SSL-Protokolle veraltet und werden von den meisten Servern und Clients nicht mehr unterstützt. Auf einigen älteren Plattformen ist SSL noch aktiviert, aber das Internet ist zu TLS 1.2 und 1.3 übergegangen.
SSL-Schwachstellen und POODLE
Im Jahr 2014 entdeckte ein Team von Sicherheitsspezialisten von Google ein kritisches Problem in SSL und nannte es POODLE (Padding Oracle On Downgraded Legacy Encryption). Diese Entdeckung löste eine massive Umstellung von SSL auf TLS aus.
Kurz gesagt, POODLE nutzt die Vorteile von SSL 3.0 Fallbacks. Die Angreifer missbrauchen das SSL-Protokoll und nutzen es, um Teile des Inhalts zu entschlüsseln. Durch eine beträchtliche Anzahl von Angriffen konnten die Hacker einige Teile der Verbindung zwischen dem Client und dem Server aufdecken und auf die Informationen zugreifen. Jedes System, das SSL 3.0 unterstützt, kann mit der POODLE-Methode geknackt werden.
Im Jahr 2002, lange vor der POODLE-Schwachstelle, wurden andere SSL-Schwachstellen wie BREAST oder BREACH bekannt. Erst 2011 wurde nachgewiesen, dass diese Angriffe ein echtes Problem darstellen. Microsoft, Apple und andere Browserhersteller arbeiteten gemeinsam daran, sie auszumerzen. All diese Sicherheitslücken waren schließlich der Grund dafür, dass SSL durch TLS ersetzt wurde.
Damals bestand die schnellste Lösung für alle SSL-Schwachstellen darin, das Protokoll serverseitig zu deaktivieren und nur die sichere TLS 1.2-Version zu verwenden. Auch heute noch fragen sich viele Nutzer, was besser ist: SSL oder TLS? Die Antwort liegt auf der Hand und ist seit über einem Jahrzehnt dieselbe. TLS ist das stabilere Protokoll mit fortschrittlichen Sicherheitsmerkmalen, die modernen Cyber-Bedrohungen standhalten. SSL ist die Vergangenheit, während TLS die Gegenwart und Zukunft ist.
Wenn SSL jetzt TLS ist, warum nennen wir sie dann nicht TLS-Zertifikate?
Der Unterschied zwischen SSL und TLS wird immer deutlicher, je mehr Jahre vergehen und je mehr neue TLS-Versionen High-End-Verschlüsselungstechnologien einsetzen. Als TLS als Alternative zu SSL aufkam, brachte es nur geringfügige Änderungen mit sich, und einige Server unterstützten es nicht. Um technische Verwirrung zu vermeiden, wurde für Verbindungen über das SSL 3.0-Protokoll weiterhin das alte SSL-Kürzel verwendet.
Auf dem Höhepunkt der SSL-Schwachstellen machten sich Hacker einen Spaß daraus, das TLS-Protokoll durch den bereits erwähnten POODLE-Angriff auf SSL 3.0 herabzustufen. Der ständigen Fehler überdrüssig, haben die Regulierungsbehörden der Branche das SSL-Protokoll abgeschafft, den Namen aber zu Marketingzwecken beibehalten.
Da die Allgemeinheit mit dem SSL-Begriff vertraut ist, verwenden die führenden Zertifizierungsstellen wie DigiCert, GeoTrust, RapidSSL, Thawte und Sectigo ihn für alle ihre Produkte.
Werden wir jemals das Akronym SSL loswerden und ausschließlich TLS verwenden? In Anbetracht der Tatsache, dass SSL 3.0 bereits seit acht Jahren Geschichte ist und es keine Anzeichen dafür gibt, dass die Zertifizierungsstellen den SSL-Namen abschaffen, wird die alte Drei-Buchstaben-Abkürzung auf absehbare Zeit bestehen bleiben.
Abschließende Überlegungen
Die Frage SSL vs. TLS stellt sich für jeden Nutzer, wenn er zum ersten Mal von SSL-Zertifikaten und der Verschlüsselung sensibler Daten erfährt. Beide Verschlüsselungsprotokolle lösen dasselbe Problem, aber wie so oft bei Technologien weisen die ersten Versionen Mängel auf, die nur durch zukünftige Alternativen behoben werden können.
Das SSL-Protokoll hat den Weg für eine bessere, schnellere und zuverlässigere TLS-Option geebnet. Und das ist der Hauptunterschied zwischen SSL und TLS. Mit jeder neuen TLS-Version nehmen die Ähnlichkeiten ab und weichen voneinander ab. Um den gesamten Artikel in einem Satz zusammenzufassen: Alle SSL-Zertifikate sind jetzt TLS-Zertifikate, an die aus Gründen der Übersichtlichkeit und Benutzerfreundlichkeit die alte Abkürzung angehängt wurde.
Häufig gestellte Fragen
Ja, TLS ist in jeder Hinsicht besser als SSL, von der Sicherheit über die Verschlüsselungsstärke bis hin zur Handshake-Geschwindigkeit ist TLS der klare Sieger. Die neueste Version TLS 1.3 erhöht die Sicherheit noch weiter, indem veraltete Chiffren und Algorithmen entfernt werden.
Normalerweise erforderte der Handshake mehrere Roundtrips, um die Schlüssel auszutauschen und den Server zu authentifizieren, was eine zusätzliche Latenzzeit für die Verbindungen bedeutete. TLS 1.2 verlangsamte sie, während TLS 1.3 sie auf einen einzigen Roundtrip reduzierte. Die neue Funktion Zero Round Trip Time Resumption (0-RTT) sorgt dafür, dass die Verbindung fast sofort wiederhergestellt wird, wenn ein Benutzer Ihre Website in kurzer Zeit erneut besucht.
Link kopieren
Die meisten modernen Server und E-Mail-Clients unterstützen TLS 1.2 oder TLS 1.3. Nur ältere Server und alte Systeme erlauben möglicherweise die Ausführung veralteter SSL-Protokolle. Hier erfahren Sie, welches Protokoll auf Windows- und Linux-Systemen aktiviert ist.
Windows
WindowsMicrosoft aktivierte TLS 1.3 in den neuesten Windows 10-Builds, beginnend mit Build 20170.
Folgen Sie den nachstehenden Schritten:
- Drücken Sie die Windows-Taste + R, um Ausführen zu starten, geben Sie regedit ein, und drücken Sie die Eingabetaste.
- Rufen Sie den folgenden Schlüssel auf und überprüfen Sie ihn. Wenn sie vorhanden ist, sollte der Wert 0 sein:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientDisabledByDefault - Überprüfen Sie dann den folgenden Schlüssel. Wenn Sie sie finden, sollte ihr Wert 1 sein:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2ClientEnabled - Ist keiner der Schlüssel vorhanden oder sind ihre Werte falsch, ist TLS 1.2 nicht aktiviertLinuxAm einfachsten und schnellsten lässt sich die TLS-Version auf verschiedenen Linux-Servern mit einem Open SSL-Befehl überprüfen: $ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}
Linux
Der einfachste und schnellste Weg, die TLS-Version auf verschiedenen Linux-Servern zu überprüfen, ist ein Open SSL-Befehl:
$ openssl s_client -connect {domain}:443 -servername {domain} -tls{version}
Link kopieren
Sie können den TLS-Status jeder Website mit einem externen Tool wie SSL Labs überprüfen. Außerdem erhalten Sie ausführliche Informationen über das SSL-Zertifikat.
Link kopieren
HTTPS verwendet TLS 1.2 und TLS 1.3. Dies sind die sichersten und zuverlässigsten Protokolle, die den aktuellen Anforderungen an die Online-Sicherheit entsprechen. Die SSL-Protokolle sind inzwischen veraltet und werden nicht mehr verwendet.
Link kopieren
Sie benötigen ein SSL/TLS-Zertifikat, um sensible Daten zu verschlüsseln und die neuesten Sicherheitsrichtlinien einzuhalten. Ohne ein SSL/TLS-Zertifikat ist Ihre Website für Besucher nicht zugänglich. Stattdessen erhalten sie eine Sicherheitswarnung. Alle SSL-Zertifikate verwenden das TLS-Protokoll, während SSL inzwischen veraltet ist. TLS ist das Standardverfahren für die Verschlüsselung.
Link kopieren
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
