SSL und TLS - was ist der Unterschied?


Bild: Illus_man/Shutterstock.com

Sowohl SSL als auch TLS sind Protokolle, die Ihre Daten im Internet sicher authentifizieren und transportieren. Umgangssprachlich wird auch heutzutage TLS noch als SSL bezeichnet, obwohl SSL inzwischen veraltet ist. Woran das liegt und wie sich SSL und TLS tatsächlich unterscheiden, lesen Sie im Folgenden.

SSL und TLS: Eine kurze Einführung

Sowohl SSL (Secure Socket Layer) als auch TLS (Transport Layer Security) sind kryptografische Protokolle, die Ihre Daten verschlüsseln, sodass diese sicher im Internet übertragen werden. Wenn Sie beispielsweise Kreditkartenzahlungen auf Ihrer Website verarbeiten, können mithilfe der Verschlüsselungs-Protokolle die Daten sicher verarbeiten werden, sodass Dritte nicht den Prozess beeinflussen können. Bei SSL handelt es sich um den Vorgänger von TLS und entspricht nicht mehr dem aktuellen Stand der Technik. Bevor wir Ihnen die wesentlichen Unterschiede der Protokolle erklären, geben wir Ihnen eine kurze geschichtliche Einordnung.

  • SSL 1.0: Aufgrund von Sicherheitsproblemen nie öffentlich freigegeben.
  • SSL 2.0: Veröffentlicht 1995. Seit 2011 veraltet.
  • SSL 3.0: Veröffentlicht 1996. Seit 2015 veraltet.
  • TLS 1.0: 1999 als Upgrade auf SSL 3.0 veröffentlicht. Seit 2020 veraltet.
  • TLS 1.1: Veröffentlicht 2006. Seit 2020 veraltet.
  • TLS 1.2: Veröffentlicht 2008.
  • TLS 1.3: Veröffentlicht 2018.

Anhand der Einordnung wird deutlich, dass SSL inzwischen veraltet ist und Transport Layer Security das aktuell genutzte Protokoll ist. Das TLS-Protokoll zielt in erster Linie darauf ab, den Datenschutz und die Datenintegrität zwischen zwei oder mehr kommunizierenden Computeranwendungen zu gewährleisten. SSL ist heutzutage allerdings immer noch der geläufige Begriff, obwohl oftmals TLS gemeint ist.

Der Unterschied zwischen SSL und TLS

Wenn Sie eine Verbindung zwischen einem Client (z.B. einem Browser wie Google Chrome) und einem Server (z.B. heise.de) via TLS oder SSL aufbauen, dann erkennen Sie an einem kleinen Schloss-Symbol, dass Sie eine verschlüsselte Verbindung zur Website aufgebaut haben. Dieser Prozess wird auch als Handshake bezeichnet. Dabei ist anzumerken, dass es sich bei SSL und TLS lediglich um die Protokolle handelt. Weitere Informationen zur Authentifizierung (wie z.B. der eindeutige Fingerabdruck oder die Identität des Webseitenbetreibers) befinden sich im sogenannten Zertifikat.

Die Verbindung zwischen dem Browser und heise.de wird via TLS verschlüsselt.

Sind also SSL und TLS dasselbe? Nein, nicht ganz. Die Begriffe werden zwar im allgemeinen Sprachgebrauch synonym verwendet, doch ist TLS das sicherere Protokoll und eine Weiterentwicklung von SSL. Im Laufe der Jahre wurden und werden immer noch Schwachstellen in den veralteten SSL-Protokollen entdeckt. Jede neu veröffentlichte Version des Protokolls kommt mit eigenen Verbesserungen und neuen Funktionen daher. SSL-Version 1.0 wurde nie veröffentlicht. Version 2.0 hingegen schon, hatte aber einige größere Mängel. SSL-Version 3.0 war eine Neufassung von Version 2.0 (um diese Mängel zu beheben – mit begrenztem Erfolg). Dem gegenüber steht die TLS-Version 1.0, die eine Verbesserung von SSL-Version 3.0 darstellt. Zwischen TLS 1.0 und 1.1 waren die Änderungen geringfügig. TLS 1.2 brachte einige bedeutende Änderungen, und TLS 1.3 hat den gesamten Verschlüsselungsprozess optimiert.

Ein Unterschied der Protokolle ist u.a. die Art des Schlüsselaustausches. TLS verwendet den Digital Signature Standard und den Ephemeral Diffie-Hellmann Algorithmus kombiniert mit RSA, was einen besseren Schutz gegen späteres Entschlüsseln bietet. SSL verwendet einen älteren Verschlüsselungsalgorithmus, der bereits durch Angriffe entschlüsselt werden konnte.

Weiterhin unterscheiden sich SSL und TLS in der Art der Protokollaufzeichnung. SSL verwendet nach der Verschlüsselung den Message Authentication Code (MAC), während TLS HMAC verwendet – einen hashbasierten Nachrichten-Authentifizierungscode. Kurzum werden mittels TLS Ihre Nachrichten pseudozufällig verschlüsselt, was diese gegenüber Angriffe sicherer macht.

Der einfache Grund, warum viele Webseiten noch von SSL-Zertifikaten sprechen, ist also im Grunde nur ein Branding-Problem. Die meisten großen Zertifikatsanbieter bezeichnen Zertifikate nach wie vor als SSL-Zertifikate, weshalb die Namenskonvention fortbesteht. Abschließend bleibt das Resümee: SSL und TLS sind verwandt, aber nicht gleichbedeutend.

Tipp: Möchten Sie mehr zu SSL und ausgestellten Zertifikaten erfahren, lesen Sie den passenden Beitrag.

Mehr zum Thema: