Zum Hauptinhalt springen

Was ist SSL/TLS?

Die Verschlüsselungstechnologie hinter dem Schloss-Symbol im Browser — Grundlage jeder sicheren Kommunikation im Web.

SSL oder TLS?

SSL (Secure Sockets Layer) ist der ursprüngliche Name, TLS (Transport Layer Security) ist der Nachfolger seit 1999. Aus Gewohnheit wird beides synonym verwendet — wenn heute jemand vom "SSL-Zertifikat" spricht, meint er fast immer ein TLS-Zertifikat. Die tatsächlichen SSL-Versionen (1.0, 2.0, 3.0) sind seit Jahren als unsicher abgekündigt; ebenso TLS 1.0 und 1.1. Aktuell wird mindestens TLS 1.2 verlangt, neue Server sollten TLS 1.3 sprechen.

Wozu dient SSL/TLS?

Drei Aufgaben gleichzeitig:

  • Verschlüsselung: Niemand zwischen Browser und Server kann den Inhalt mitlesen.
  • Authentifizierung: Der Browser kann verifizieren, dass er wirklich mit deinedomain.de redet — und nicht mit einem Angreifer.
  • Integrität: Niemand kann unterwegs Daten verändern, ohne dass es auffällt.

Was ist ein SSL-Zertifikat?

Ein digitales Zertifikat ist eine elektronische Unterschrift einer Zertifizierungsstelle (CA, z. B. Let's Encrypt, DigiCert, Sectigo). Sie bestätigt: "Ja, der öffentliche Schlüssel X gehört wirklich zur Domain Y." Das Zertifikat enthält den öffentlichen Schlüssel, Subject (Domainname), Aussteller (CA), Gültigkeitszeitraum und SAN-Liste (alternative Domainnamen). Der private Schlüssel bleibt geheim auf deinem Server.

Browser kommen mit einer hartkodierten Liste vertrauenswürdiger CAs. Wenn dein Zertifikat von einer dieser CAs unterschrieben ist, akzeptiert es der Browser ohne Warnung. Selbstsignierte Zertifikate funktionieren nur in Spezialfällen (interne Tools, eigene CA).

Der TLS-Handshake

Beim Verbindungsaufbau einigen sich Browser und Server in mehreren Schritten:

  1. Client Hello: Der Browser schickt eine Liste der TLS-Versionen und Cipher-Suiten, die er unterstützt.
  2. Server Hello: Der Server wählt die beste gemeinsame Version + Cipher-Suite und schickt sein Zertifikat zurück.
  3. Validierung: Der Browser prüft das Zertifikat (gültig? richtige Domain? CA vertrauenswürdig? nicht widerrufen?).
  4. Schlüsselaustausch: Beide Seiten generieren einen gemeinsamen Sitzungsschlüssel, mit dem die eigentliche Verschlüsselung läuft.

TLS 1.3 hat den Handshake auf einen Round-Trip reduziert (vorher: zwei) und damit deutlich schneller gemacht. Außerdem fallen unsichere Cipher-Suiten und alte Schlüsselaustausch- Verfahren weg.

Worauf solltest du achten?

  • Restlaufzeit: Zertifikate von Let's Encrypt laufen 90 Tage, kommerzielle meist 1 Jahr. Automatische Erneuerung (z. B. via Certbot) verhindert Ausfälle.
  • TLS-Version: Nur TLS 1.2 und 1.3 zulassen. TLS 1.0/1.1 und SSLv3 abschalten.
  • Cipher-Suite: Moderne, vorwärtssichere (Forward Secrecy) Cipher wie ECDHE-RSA-AES256-GCM-SHA384.
  • SAN-Liste: Alle relevanten Subdomains müssen drin sein — sonst gibt es Browser-Warnungen.
  • OCSP-Stapling: Der Server liefert die CA-Bestätigung "Zertifikat nicht widerrufen" gleich mit, statt dass der Browser nachfragen muss.

Häufige Browser-Warnungen

  • NET::ERR_CERT_DATE_INVALID: Zertifikat ist abgelaufen oder noch nicht gültig.
  • NET::ERR_CERT_COMMON_NAME_INVALID: Domain im Zertifikat passt nicht zur aufgerufenen Adresse.
  • NET::ERR_CERT_AUTHORITY_INVALID: Aussteller ist nicht in der vertrauenswürdigen CA-Liste (typisch bei selbstsignierten oder abgelaufenen Zwischenzertifikaten).
  • NET::ERR_SSL_OBSOLETE_VERSION: Server unterstützt nur TLS 1.0/1.1.

Selbst prüfen: SSL-Check

SSL/TLS-Zertifikat, Restlaufzeit, Cipher. Gib eine Domain ein und sieh in Sekunden, wie es um deinen SSL steht.

Auch im Lexikon

DMARC erklärt

DMARC

HSTS erklärt

HSTS

SPF erklärt

SPF

CSP erklärt

CSP

DKIM erklärt

DKIM

X-Frame-Options erklärt

X-FRAME-OPTIONS

Subresource Integrity erklärt

SUBRESOURCE-INTEGRITY

CORS erklärt

CORS

Cookie-Flags erklärt

COOKIE-FLAGS

DNSSEC erklärt

DNSSEC

CAA-Record erklärt

CAA-RECORD

Referrer-Policy erklärt

REFERRER-POLICY

Permissions-Policy erklärt

PERMISSIONS-POLICY

MIME-Sniffing & X-Content-Type-Options erklärt

MIME-SNIFFING