SSL & TLS – ein paar Ihnen vielleicht unbekannte Unterschiede!

23.04.2018 | Petra Alm

Falls Sie unserem Magazin regelmäßiger folgen, haben Sie vielleicht bemerkt, dass wir schon eine gewisse Zeit den Begriff SSL/TLS Zertifikat nutzen. In dem folgenden Artikel möchten wir Ihnen erklären, warum wir uns zu dieser Erweiterung entschieden haben und wie sie zu verstehen ist. Aber vor allem erfahren Sie, welcher Unterschied – falls überhaupt - es zwischen den Abkürzungen SSL und TLS gibt.

Aus der Geschichte

Mit der Abkürzung SSL wird die Verbindung Secure Sockets Layer vereinfacht, TLS bedeutet dann Transport Layer Security. Dass es sich in den beiden Fällen um Protokolle für eine verschlüsselte, also abgesicherte Datenübertragung zwischen dem Server und dem Client handelt, ist Ihnen bestimmt bereits bekannt. Das Protokoll TLS ist dann einfach gesagt der Nachfolger von SSL, konkret SSL 3.0.

Den Weg von SSL zu TLS können wir uns fast wie ein Märchen mit einem – wie auch anders – glücklichen Ende vorstellen. Die kryptografischen Standards wurden allmählich verbessert und die veralteten und nicht sicheren Kommunikationsmethoden wurden schließlich durch bessere ersetzt.

Das SSL-Protokoll wurde in der ersten Hälfte der 90er Jahre von dem Unternehmen Netscape Communications Corporation entwickelt. Dieser Hersteller hat nämlich damals eine für Webserver bestimmte Software auf den Markt eingeführt, welche den verschlüsselten Datentransport eben auf SSL aufgebaut hat. Im Fall von dem im Jahre 1999 vorgestellten TLS sollte dagegen schon aus dem Namen ersichtlich sein, dass es sich um einen offenen und für alle zugänglichen Standard handelt, mit welchem sich jedes Unternehmen oder Projekt bedienen kann und welches nicht mit dem Patentaufkleber von Netscape „verziert“ ist. SSL wurde außerdem ursprünglich nur für die HTTPS Verbindung gedacht, während man bei TLS bereits mit den Ports für POP3, SMTP und IMAP gerechnet hat. Früher war nämlich nicht vorstellbar, dass sich für die Verschlüsselung neben den Banken auch andere interessieren könnten, Entwicklung starker Kryptografie war sogar auch nicht erwünscht. Die Zeiten ändern sich jedoch.

Beim Kauf eines SSL-Zertifikats brauchen Sie sich aber keine Sorgen zu machen, bei seiner Auswahl können Sie sich nicht irren – die Zertifikate werden so ausgestellt, dass Sie sie für alle Versionen sowohl des SSL als auch des TLS Protokolls einsetzen werden können. Auch deshalb nutzt unser SSLmarket den „kompatiblen“ Ausdruck SSL/TLS Zertifikat.

TLS als Garantie höherer Sicherheit

Bis heute haben das Licht der Welt 6 verschiedene Versionen von SSL und TLS erblickt – die letzte ist die frisch abgestimmte TLS 1.3. Nicht alle Geräte unterstützen jedoch alle Versionen – die Vereinbarung der konkreten Version des Protokolls ist somit ein von den wichtigsten Zielen des sog. Handshakings, des „Gespräches“ zwischen dem Server und Client bei welchem die Bedingungen für den nachfolgdenden Datenverkehr gestellt werden. Die beteiligten Seiten müssen sich über das Protokoll, welches für die Verschlüsselung der Kommunikation genutzt wird, einigen. Wird in der Menge von sicheren Protokollen, die von beiden Seiten unterstützt werden, keine Übereinstimmung erzielt, kommt es zu einer Pflicht-Auswahl eines von den veralteten Protokollen. Dies ist aber gefährlich!

Wird die Unterstützung von älteren und verletzbaren Versionen von SSL nicht direkt deaktiviert, kann es einfach zu dem sog. Downgrade Angriff kommen, bei welchem die Hacker den Seiten schwächere Kommunikationskanäle aufzwingen. Zum Beispiel das löchrige SSL 3.0., welches auf allen Geräten verboten werden sollte, aber die Realität ist anders. Die Unterstützung der aktuellen Versionen kann dabei sehr einfach sowohl auf dem Browser als auch dem Server eingestellt werden! Falls keiner von den Kommunikationspartnern das schwächere Protokoll unterstützt, kann das Szenario des sog. SSL fallback-Angriffes nicht eintreten.

Ob Ihr Server noch immer das 22 Jahre alte SSL 3.0. unterstützt können Sie mit einem Test auf SSLlabs überprüfen. Mit seiner Abschaltung kann Ihnen eventuell unsere Anleitung weiterhelfen. Bei Browsern wird dann die Unterstützung von TLS als Default eingestellt, auch davon können Sie sich selbst auf SSLlabs überzeugen. Wie auf Chrome und Firefox dann das neueste TLS 1.3. zu aktivieren ist erfahren Sie in unserem nächsten Artikel.

Welche Bezeichnung ist also die richtige?

Anstatt der Abkürzung SSL sollten wir also die TLS nutzen. Aber weil es schwierig ist, sich von alten Gewohnheiten zu verabschieden, wird die Bezeichnung SSL auch nach den 19 Jahren der TLS-Existenz häufiger genutzt – die Zertifizierungsstellen bieten noch immer SSL-Zertifikate an, sowie die berühmte OpenSSL Software nicht auf OpenTLS umbenannt worden ist. Dass die Abkürzung SSL auch bei gängigen Usern den Vorrang hat, beweist uns auch die Grafik von Google Trends. Interessant ist jedoch das Übergewicht von TLS in Australien. SSL wird im Blauen dargestellt, TLS im Roten.

Vergleich von SSL und TLS von Google Trends

In unserem Magazin haben wir uns für den goldenen Mittenweg entschieden. Welche Bezeichnung werden Sie vorziehen?

Quellen

The Difference Between SSL and TLS

The Real Truth About TLS Vs SSL

TLS/SSL Explained – A brief history of TLS/SSL, Part 2