TLS und SSL – Gemeinsamkeiten und Unterschiede
Wer häufig im Internet unterwegs ist, begegnet Abkürzungen wie „TLS“ und „SSL“ automatisch. Zum Teil sind beide Buchstabenkürzel auch miteinander kombiniert. Wer beispielsweise eine Website hosten oder einen E-Mail-Client manuell konfigurieren möchte, kommt an diesen Kürzeln nicht vorbei. Zwischen beiden Protokollen bestehen große Unterschiede.
Inhaltsverzeichnis
Die Bedeutung von SSL
Die Abkürzung „SSL“ steht für „Secure Socket Layer“, das Kürzel „TLS“ hingegen für „Transport Layer Security“. Beide Verschlüsselungsprotokolle dienen der Transportschicht des World Wide Web.
Die Funktion der Protokolle ist es, eine Verschlüsselung von Datenströmen zwischen Client sowie Server zu erstellen.
Erfolgt Kommunikation über die verschlüsselte Transportschicht, wird der Protokollname zusätzlich mit einem „s“ am Ende versehen. So wandelt sich „http“ beispielsweise in „https“. Die Abkürzung „SSL“ kursiert ebenfalls im Internet, wenn ein SSL-Zertifikat genutzt wird.
Dieses Zertifikat ist notwendig, falls eine Webseite über „https“ kommunizieren möchte. Diese Anforderung betrifft heute allerdings die meisten Internetseiten.
Historische Einblicke
Das Protokoll SSL wurde erstmals in der Mitte der 1990er Jahre eingeführt. Nachdem zahlreiche folgenschwere Sicherheitslücken aufgezeigt wurden, wurde die verbesserte 2.0-Version sowie im darauffolgenden Jahr die Version 3.0 veröffentlicht.
Einige Zeit später verwarf die Internet Engineering Task Force – auch als IETF bezeichnet – die SSL 3.0-Variante. Hierfür waren neu aufgetretene Sicherheitslücken verantwortlich.
Das Nachfolgeprotokoll TLS
TLS gilt als Nachfolgeprotokoll von SSL. Die erstmals 1999 angewendete verbesserte Version von SSL 3.0 wurde anfangs als SSL 3.1 bezeichnet. Die heutige aktuelle Version ist als TLS 1.3 bekannt. Der Wechsel von SSL 3.0 zu TLS 1.0 brachte anfangs nur wenige Änderungen mit sich. Dennoch wurden die Unterschiede als gut genug eingestuft, um eine Zusammenarbeit zwischen TLS 1.0 sowie SSL 3.0 zu unterbinden.
Im Vergleich zu SSL 3.0 verbesserte das TLS 1.0 die Interoperabilität und kryptografische Sicherheit von Anwendungen.
Die heute üblicherweise verwendete Version TLS 1.2 räumt erhöhte Sicherheit gegenüber Hacker-Angriffen ein und bietet mehr Flexibilität für die verwendete Verschlüsselung. Das heutige TLS ist deutlich effektiver, flexibler und sicherer als das einstige SSL. Weil die Abkürzung „SSL“ jedoch wesentlich bekannter als „TLS“ ist, bedienen sich Anbieter von Routern oder Client-Software häufig der Bezeichnung „SSL“ oder des Doppelbegriffs „SSL/TLS“.
Bei dieser Abkürzung ist dennoch zumeist von der aktuellen TLS-Version namens „TLS 1.3“ die Rede.
SSL oder TLS: Worauf soll die Wahl fallen?
Heute kommt ausschließlich TLS in Betracht. Die Versionen „SSL 2.0“ und „SSL 3.0“ sind mittlerweile veraltet und werden als unsicher eingestuft. Diese Zweifel bestehen ebenfalls an der Performance älterer TLS-Varianten. Die einzige Ausnahme ist „TLS 1.2“, das unter Umständen noch verwendet werden kann.
Im Gegenzug ist es ratsam, von allen SSL-Protokollen abzusehen, deren Nutzung sogar mittlerweile unzulässig ist. Die Unterstützung für die TLS-Versionen 1.0 sowie 1.1 ist ebenfalls mittlerweile ausgelaufen. Bei einem gut konfigurierten Server sind diese veralteten Protokolle inzwischen sogar komplett deaktiviert.
