TLS vs. SSL: Wo ist der Unterschied?

WordPress Website Checkliste
York Karsten
York Karsten

Aktualisiert:

Veröffentlicht:

Auf der Suche nach einem Hosting-Anbieter stoßen Sie unweigerlich auf Begriffe wie SSL-Zertifikat, HTTP, HTTPS oder TLS: Doch was ist damit gemeint? Klingt kryptisch? Mit dieser Annahme kommen Sie der Antwort bereits auf die Schliche – denn bei SSL und TLS handelt es sich um kryptografische Verschlüsselungsprotokolle.

Datensicherheit-mit-TLS-und-SSL

In diesem Artikel erfahren Sie, was es mit den beiden Abkürzungen TLS und SSL auf sich hat und worin die Unterschiede liegen. Nicht nur für Webseitenbetreibende, sondern auch beim E-Mail-Versand sind die Verschlüsselungsprotokolle essenziell.  

→ So veröffentlichen Sie eine WordPress-Website [Leitfaden und Checkliste]

So funktioniert die Übertragung von Daten im Internet 

Sobald Sie eine Webseite im Internet aufrufen, kommuniziert diese mit dem Server. Denn hier sind alle Daten gespeichert, die der Webseite ihr Erscheinungsbild geben. Umgekehrt werden auch Daten an den Server gesendet, sobald ein Besucher oder eine Besucherin beispielsweise ein Kontaktformular ausfüllt oder per Kreditkarte einen Onlinekauf tätigt. 

Die Webseite beziehungsweise der Browser (in dem Fall der Client) kommuniziert also mit dem Provider, dem Server. Der Datenaustausch findet durch das Hypertext Transfer Protocol (HTTP) statt. Um die Übermittlung der Daten zu verschlüsseln, wird zusätzlich ein Sicherheitsprotokoll (SSL oder TLS) verwendet. Dies schützt sowohl Webseitenbetreibende als auch Nutzerinnen und Nutzer vor ungewollten Hackerangriffen. 

Was ist ein SSL-Zertifikat?

Die Abkürzung SSL steht für „Secure Socket Layer“ und bezeichnet ein kryptografisches Sicherheitsprotokoll, das für die sichere Übertragung von Daten zwischen Server und Client verantwortlich ist. Internetseiten, die mit einem SSL-Zertifikat ausgestattet sind, haben nicht das Protokoll http, sondern https. 

Das Protokoll verspricht eine höhere Sicherheit, weil es die Transportschicht verschlüsselt. Webseiten, die kein SSL-Zertifikat verwenden, werden beim Betreten als „unsicher“ angezeigt. In der Zeile mit der URL erscheint in diesem Fall ein durchgestrichenes Schloss. Für den Google-Algorithmus ist das SSL-Zertifikat zusätzlich ein Faktor bei der Ranking-Bewertung. Unsichere Webseiten hingegen werden in den Suchergebnissen abgestraft. 

Das SSL-Protokoll wurde bereits 1995 eingefügt, wies jedoch immer wieder Sicherheitslücken auf. Die aktuellen Versionen sind SSL 2.0 (auch: SSLv2) und SSL 3.0 (auch: SSLv3).

Heutiger Standard: Was bedeutet TLS Verschlüsselung?

Nachfolger des SSL-Protokolls ist die Verschlüsselung mittels TLS. Die Abkürzung TLS steht für „Transport Layer Security“. Dabei handelt es sich ebenfalls um ein kryptografisches Sicherheitsprotokoll. Es trat zunächst als SSL 3.1 auf. Die aktuelle Version ist unterdessen jedoch TLS 1.3. 

Anders als das SSL-Zertifikat nutzt TLS einen neueren Verschlüsselungsalgorithmus (den Digital Signature Standard sowie Ephemeral Diffie-Hellmann Algorithmus). Gegenüber dem SSL-Protokoll ist TLS flexibler, noch sicherer gegen Hackerangriffe, effizienter und es verwendet keine veralteten Cipher Suites mehr. 

Fälschlicherweise wird heute bei vielen Hosting-Anbietern von SSL gesprochen, da das Protokoll allgemein bekannter ist. In aller Regel handelt es sich dabei jedoch um das TLS-Protokoll. Auch der Begriff SSL/TLS hat sich bei den Providern etabliert. Gemeint ist damit eigentlich das Protokoll TLS 1.3. 

Die älteren Versionen TLS 1.0 und 1.1 werden von den meisten Browsern demnächst nicht mehr unterstützt. Server bieten bereits jetzt fast ausschließlich TLS 1.3 und in einigen Fällen das TLS 1.2. Protokoll an.

Welches Protokoll nutzt Ihre Webseite? 

Wenn Sie sich unsicher sind, welches der vielen Protokolle Ihre Webseite nutzt, können Sie einen ganz einfachen Check durchführen. Nutzen Sie dazu beispielsweise folgende Tools: 

Eine weitere Möglichkeit ist auch, bei Ihrem Hosting-Anbieter nachzufragen. In den meisten Fällen wird das Verschlüsselungsprotokoll bereits eingerichtet, sobald Sie sich beim Hosting-Anbieter anmelden. Die meisten Hosting-Pakete beinhalten bereits ein kostenloses SSL/TLS-Zertifikat. Die Installation ist (bei den modernen Anbietern) mit nur einem Klick abgeschlossen. 

Sicherheit beim E-Mail-Versand: Was ist besser StartTLS oder SSL/TLS?

Sicherheitsprotokolle werden nicht nur bei Webseiten, sondern auch beim Versenden von E-Mails verwendet. Sichern Sie Ihren E-Mail-Versand nicht ab, ist das für Hacker und Datendiebe ein gefundenes Fressen. Denn dann können Mails abgefangen werden, was im schlimmsten Fall dafür sorgt, dass vertrauliche Daten in die falschen Hände geraten. 

Ebenso wie beim Absichern Ihrer Webseite können Sie bei Ihrem E-Mail-Client auf ein SSL/TLS-Zertifikat zurückgreifen. Dieses sorgt dafür, dass eine sichere Verbindung zwischen Ihrem und dem Client des Empfangenden mittels Port hergestellt wird. 

Eine andere Möglichkeit ist die Verwendung des Befehls StartTLS. Bei dieser Option wird zunächst ein unverschlüsselter Port aufgebaut, der schließlich auf eine Verschlüsselung umgestellt wird. Zu empfehlen ist das zweite Vorgehen jedoch nur im absoluten Ausnahmefall. Sichern Sie sich lieber mit einem SSL/TLS-Zertifikat ab. Das entspricht dem heutigen Standard und wird Ihnen auch bezogen auf die DSGVO keine rechtlichen Probleme bereiten. 

Fazit: TLS bietet einen höheren Sicherheitsstandard

Lassen Sie sich nicht verunsichern, wenn Ihr Hosting-Anbieter mit einem SSL-Zertifikat wirbt. Die Bezeichnung hat sich etabliert, obwohl in 99 Prozent aller Fälle ein TLS-Protokoll gemeint ist. Moderne Server verwenden ausschließlich die aktuelle TLS 1.3-Version – teilweise auch TLS 1.2.

Beide Verschlüsselungsprotokolle sorgen für eine sicherere Datenübertragung auf Ihrer Webseite. Möchten Sie austesten, welche Version Ihre Seite verwendet, können Sie auf entsprechende Tools zurückgreifen. 

Achten Sie unbedingt darauf, dass Ihre Seite mit einem entsprechenden SSL/TLS-Zertifikat abgesichert ist, um Ihre Daten zu schützen und auch im Google-Ranking nicht abgestraft zu werden. Nicht vergessen: Auch bei Ihrem E-Mail-Client ist die verschlüsselte Übertragung wichtig!

→ So veröffentlichen Sie eine WordPress-Website [Leitfaden und Checkliste]

Titelbild: AndSim / iStock / Getty Images Plus

Themen: Cybersecurity

Verwandte Artikel

Dieser Leitfaden bietet Ihnen eine Anleitung zur erfolgreichen Veröffentlichung Ihrer Website mit WordPress.

KOSTENLOS HERUNTERLADEN