Sowohl TLS als auch SSL sind Protokolle, die eine sichere Authentifizierung und den sicheren Transport von Daten im Internet ermöglichen. Aber was ist der Unterschied zwischen TLS und SSL? Und ist es etwas, worüber du dir Sorgen machen musst?

In diesem Artikel zeigen wir dir die Hauptunterschiede zwischen TLS und SSL sowie die Verbindung beider Protokolle mit HTTPS auf. Außerdem zeigen wir, warum du dir als Endbenutzer wahrscheinlich nicht allzu viele Gedanken über TLS vs. SSL machen musst oder ob du ein „SSL-Zertifikat“ oder ein „TLS-Zertifikat“ verwendest.

Du kannst unten klicken, um zu einem bestimmten Abschnitt zu springen oder den gesamten Artikel durchlesen:

Was ist der Unterschied zwischen TLS und SSL?

TLS, die Abkürzung für Transport Layer Security, und SSL, die Abkürzung für Secure Socket Layers, sind beides kryptographische Protokolle, die Daten verschlüsseln und eine Verbindung authentifizieren, wenn Daten im Internet bewegt werden.

Wenn du zum Beispiel Kreditkartenzahlungen auf deiner Website verarbeitest, können TLS und SSL dir helfen, diese Daten sicher zu verarbeiten, sodass böswillige Akteure nicht an sie gelangen können.

Was ist also der Unterschied zwischen TLS und SSL?

Nun, TLS ist eigentlich nur eine neuere Version von SSL. Es behebt einige Sicherheitslücken in den früheren SSL-Protokollen.

Bevor du mehr über die Einzelheiten erfährst, ist es wichtig, die grundlegende Geschichte von SSL und TLS zu verstehen.

SSL 2.0 wurde erstmals im Februar 1995 veröffentlicht (SSL 1.0 wurde aufgrund von Sicherheitslücken nie öffentlich veröffentlicht). Obwohl SSL 2.0 öffentlich veröffentlicht wurde, enthielt es auch Sicherheitslücken und wurde 1996 schnell durch SSL 3.0 ersetzt.

Dann, 1999, wurde die erste Version von TLS (1.0) als Upgrade auf SSL 3.0 veröffentlicht. Seitdem gab es drei weitere TLS-Veröffentlichungen, wobei die jüngste Version TLS 1.3 im August 2018 veröffentlicht wurde.

Zu diesem Zeitpunkt sind beide öffentlichen SSL-Versionen veraltet und weisen bekannte Sicherheitslücken auf (mehr dazu später).

Hier ist die vollständige Geschichte der SSL- und TLS-Veröffentlichungen:

  • SSL 1.0 – wurde aufgrund von Sicherheitsproblemen nie öffentlich veröffentlicht.
  • SSL 2.0 – veröffentlicht im Jahr 1995. Veraltet in 2011. Hat bekannte Sicherheitsprobleme.
  • SSL 3.0 – veröffentlicht im Jahr 1996. Veraltet in 2015. Hat bekannte Sicherheitsprobleme.
  • TLS 1.0 – wurde 1999 als Upgrade auf SSL 3.0 veröffentlicht. Geplante Verwerfung im Jahr 2020.
  • TLS 1.1 – wurde 2006 veröffentlicht. Geplante Verwerfung im Jahr 2020.
  • TLS 1.2 – veröffentlicht im Jahr 2008.
  • TLS 1.3 – veröffentlicht im Jahr 2018.

Wie funktionieren TLS und SSL zur Sicherung von Daten?

Hier ist der High-Level-Prozess für die Funktionsweise von SSL und TLS.

Wenn du ein SSL/TLS-Zertifikat auf deinem Webserver installierst (oft nur als „SSL-Zertifikat“ bezeichnet), enthält es einen öffentlichen und einen privaten Schlüssel, die deinen Server authentifizieren und deinen Server Daten verschlüsseln und entschlüsseln lassen.

Wenn ein Besucher auf deine Seite geht, sucht sein Webbrowser nach dem SSL/TLS-Zertifikat deiner Seite. Dann führt der Browser einen „Handshake“ durch, um die Gültigkeit deines Zertifikats zu überprüfen und deinen Server zu authentifizieren. Wenn das SSL-Zertifikat nicht gültig ist, kann es sein, dass deine Nutzer mit dem Fehler „deine Verbindung ist nicht privat“ konfrontiert werden, was dazu führen kann, dass sie deine Webseite verlassen.

Sobald der Browser eines Besuchers feststellt, dass dein Zertifikat gültig ist und deinen Server authentifiziert, wird im Wesentlichen eine verschlüsselte Verbindung zwischen ihm und deinem Server hergestellt, um Daten sicher zu transportieren.

Hier kommt auch HTTPS ins Spiel (HTTPS steht für „HTTP over SSL/TLS“).

HTTP und das neuere HTTP/2 sind Anwendungsprotokolle, die bei der Übertragung von Informationen über das Internet eine wesentliche Rolle spielen.

Mit einfachem HTTP sind diese Informationen anfällig für Angriffe. Wenn du aber HTTP over SSL oder TLS (HTTPS) verwendest, verschlüsselst und authentifizierst du diese Daten während des Transports, was sie sicher macht.

Aus diesem Grund kannst du Kreditkartendaten sicher über HTTPS, aber nicht über HTTP verarbeiten, und auch deshalb drängt Google Chrome so sehr auf die Einführung von HTTPS.

Warum wird es ein SSL-Zertifikat genannt, wenn SSL veraltet ist?

Oben hast du erfahren, dass TLS die neuere Version von SSL ist und dass beide öffentlichen Versionen von SSL seit mehreren Jahren veraltet sind und bekannte Sicherheitslücken enthalten.

Vielleicht fragst du dich jetzt: Warum wird es ein SSL-Zertifikat und nicht ein TLS-Zertifikat genannt? Schließlich ist TLS das moderne Sicherheitsprotokoll.

Wenn du zum Beispiel auf der Kinsta-Features-Seite schaust, wirst du sehen, dass Kinsta ein kostenloses SSL-Zertifikat bewirbt, kein kostenloses TLS-Zertifikat.

Keine Sorge: Kinsta verwendet keine veraltete Technologie!

Nein, der Grund, warum die meisten Leute sie immer noch als SSL-Zertifikate bezeichnen, ist im Grunde ein Branding-Problem. Die meisten großen Zertifikatsanbieter bezeichnen Zertifikate immer noch als SSL-Zertifikate, weshalb die Namenskonvention bestehen bleibt.

In Wirklichkeit sind alle „SSL-Zertifikate“, die du in der Werbung siehst, wirklich SSL/TLS-Zertifikate (das schließt die kostenlosen SSL-Zertifikate ein, die wir als Teil unserer Cloudflare-Integration anbieten).

 

Das heißt, du kannst sowohl das SSL- als auch das TLS-Protokoll mit deinem Zertifikat verwenden.

Es gibt nicht nur ein SSL-Zertifikat oder nur ein TLS-Zertifikat, und du brauchst dich nicht darum zu kümmern, dein SSL-Zertifikat durch ein TLS-Zertifikat zu ersetzen.

Sollte ich TLS oder SSL verwenden? Ersetzt TLS SSL?

Ja, TLS ersetzt SSL. Und ja, du solltest TLS anstelle von SSL verwenden.

Wie du oben gelernt hast, sind beide öffentlichen Versionen von SSL zu einem großen Teil veraltet, da sie bekannte Sicherheitslücken aufweisen. Daher ist SSL im Jahr 2019 und darüber hinaus kein vollständig sicheres Protokoll.

TLS, die modernere Version von SSL, ist sicher. Darüber hinaus bieten die neuesten Versionen von TLS auch Leistungsvorteile und andere Verbesserungen.

TLS ist nicht nur sicherer und leistungsfähiger, die meisten modernen Webbrowser unterstützen SSL 2.0 und SSL 3.0 nicht mehr. Google Chrome beispielsweise unterstützt SSL 3.0 seit 2014 nicht mehr, und die meisten großen Browser planen, TLS 1.0 und TLS 1.1 im Jahr 2020 nicht mehr zu unterstützen.

Tatsächlich begann Google damit, ERR_SSL_OBSOLETE_VERSION-Warnhinweise in Chrome anzuzeigen.

Wie stelle ich also sicher, dass ich die neuesten Versionen von TLS und nicht ältere, unsichere SSL-Protokolle verwende?

Denke zunächst daran, dass dein Zertifikat nicht mit dem Protokoll übereinstimmt, das dein Server verwendet. Du brauchst dein Zertifikat nicht zu ändern, um TLS zu verwenden. Auch wenn es als „SSL-Zertifikat“ gebrandmarkt ist, unterstützt dein Zertifikat bereits sowohl das SSL- als auch das TLS-Protokoll.

Stattdessen steuert man, welches Protokoll deine Website auf Serverebene verwendet.

Wenn du bei Kinsta hosten willst, aktiviert Kinsta bereits TLS 1.3 für dich, die modernste, sicherste und performanteste Version, sowie TLS 1.2.

Wenn du woanders hosten willst, kannst du das SSL-Labor-Tool verwenden, um zu überprüfen, welche Protokolle für deine Website aktiviert sind.

Wenn du beispielsweise eine bei Kinsta gehostete Website testest, kannst du sehen, wie Kinsta TLS 1.2 und TLS 1.3 aktiviert, aber die älteren, unsicheren Versionen von SSL deaktiviert:

Wie du testen kannst, welche SSL/TLS-Protokolle dein Server benutzt.
Wie du testen kannst, welche SSL/TLS-Protokolle dein Server benutzt.

Wenn du feststellst, dass dein Server immer noch die veralteten SSL-Protokolle unterstützt, kannst du den Support deines Hosts um Hilfe bitten oder die folgenden Anweisungen befolgen, um SSL auf den beiden beliebtesten Webservern (Apache und Nginx) zu deaktivieren:

Warum aktiviert Kinsta mehrere TLS-Protokolle?

Wenn TLS 1.3 das modernste und performanteste Protokoll ist, warum macht sich Kinsta die Mühe, auch die etwas älteren Protokolle TLS 1.2 zu aktivieren?

Mit anderen Worten: was ist der Vorteil, wenn man mehrere Protokolle aktiviert hat?

Wie du oben gelernt hast, gibt es zwei Teile für den SSL/TLS-Handshake:

  1. Dein Webserver
  2. Der Client (normalerweise der Webbrowser eines Besuchers)

Damit der Handshake funktioniert, müssen beide das gleiche Protokoll unterstützen.

Der Hauptvorteil von mehreren Protokollen ist also die Kompatibilität.

Zum Beispiel, während Chrome und Firefox die Unterstützung für TLS 1.3 fast unmittelbar nach der Veröffentlichung im Jahr 2018 hinzufügten, brauchten Apple und Microsoft etwas länger, um TLS 1.3 Unterstützung hinzuzufügen.

Selbst im Jahr 2019 fehlt den folgenden Browsern noch immer die Unterstützung für TLS 1.3:

  • Internet Explorer
  • Oper Mini
  • Android-Browser
  • Oper Mobile
  • UC-Browser für Android
  • Samsung Internet
  • Baidu-Browser
TLS 1.3 Webbrowser-Unterstützung
TLS 1.3 Webbrowser-Unterstützung

Aber während TLS 1.3 immer noch nicht vollständig eingeführt ist, unterstützen alle wichtigen Browser TLS 1.2 im Jahr 2019:

TLS 1.2 Webbrowser-Unterstützung
TLS 1.2 Webbrowser-Unterstützung

Wenn du sowohl TLS 1.3 als auch TLS 1.2 auf deinem Server aktivierst, kannst du die Kompatibilität auf jeden Fall sicherstellen und gleichzeitig die Vorteile von TLS 1.3 für Browser, die es unterstützen, wie Chrome und Firefox, nutzen.

Wenn du überprüfen möchtest, welche SSL/TLS-Version dein Webbrowser verwendet, kannst du das Tool „How’s My SSL“ verwenden:

So testet man, welche SSL/TLS-Protokolle der Browser verwendet
So testet man, welche SSL/TLS-Protokolle der Browser verwendet

Zusammenfassung

Zusammenfassend lässt sich sagen, dass TLS und SSL beides Protokolle sind, um die Übertragung von Daten im Internet zu authentifizieren und zu verschlüsseln.

Beide sind eng miteinander verbunden und TLS ist eigentlich nur die modernere, sicherere Version von SSL.

Während SSL immer noch der dominierende Begriff im Internet ist, meinen die meisten Leute eigentlich TLS, wenn sie von SSL sprechen, denn beide öffentlichen Versionen von SSL sind nicht sicher und schon lange veraltet.

Um sowohl das SSL- als auch das TLS-Protokoll zu verwenden, musst du ein Zertifikat auf deinem Server installieren (Hier erfahrst du, wie du ein SSL-Zertifikat auf WooCommerce installieren). Auch hier gilt, dass die meisten Leute diese als „SSL-Zertifikate“ bezeichnen, aber diese Zertifikate unterstützen sowohl das SSL- als auch das TLS-Protokoll.

Du brauchst dich nicht darum zu kümmern, dein SSL-Zertifikat in ein TLS-Zertifikat zu „ändern“. Wenn du bereits ein „SSL-Zertifikat“ installiert hast, kannst du sicher sein, dass es auch TLS unterstützt.

Es ist wichtig, die neuesten Versionen von TLS zu verwenden, da SSL nicht mehr sicher ist, aber dein Zertifikat das von deinem Server verwendete Protokoll nicht bestimmt. Stattdessen kann, sobald du ein Zertifikat hast, ausgewählt werden, welche Protokolle auf Serverebene verwendet werden sollen.

Wenn du bei Kinsta hosten möchtest, aktiviert Kinsta derzeit TLS 1.2 und TLS 1.3, die alle sicher sind und von allen gängigen Browsern unterstützt werden.