SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind kryptografische Protokolle, die eine verschlüsselte Verbindung zwischen einem Webbrowser und einem Server herstellen. Obwohl SSL technisch veraltet ist und TLS als Nachfolger gilt, wird der Begriff „SSL" im Alltag weiterhin für beide verwendet. Das erkennst du am https:// in der Adressleiste und dem Schloss-Symbol.
Ohne SSL/TLS werden Daten im Klartext übertragen – jeder im gleichen Netzwerk könnte z.B. dein Passwort mitlesen. Mit SSL/TLS sind die Daten verschlüsselt und nur Sender und Empfänger können sie lesen.
Beim Verbindungsaufbau findet ein sogenannter TLS-Handshake statt. Der Browser teilt dem Server mit, welche TLS-Versionen und Verschlüsselungsverfahren er unterstützt. Der Server antwortet mit seinem Zertifikat und dem gewählten Verfahren. Browser und Server einigen sich auf einen gemeinsamen Sitzungsschlüssel – danach ist die Verbindung verschlüsselt.
Moderne TLS-Verbindungen nutzen TLS 1.2 oder TLS 1.3. Ältere Versionen wie SSL 3.0 oder TLS 1.0 gelten als unsicher und werden von modernen Browsern abgelehnt.
Ein SSL-Zertifikat ist ein digitales Dokument, das die Identität einer Website bestätigt. Es enthält den Domainnamen, den Aussteller (Certificate Authority, CA), den öffentlichen Schlüssel und die Gültigkeitsdauer. Bekannte CAs sind Let's Encrypt (kostenlos), DigiCert und Sectigo.
Es gibt drei Arten von Zertifikaten: DV (Domain Validation) – prüft nur die Domain, schnell und günstig. OV (Organization Validation) – prüft zusätzlich das Unternehmen. EV (Extended Validation) – umfangreichste Prüfung, früher mit grüner Adressleiste.
SAN (Subject Alternative Names) erlauben es, ein Zertifikat für mehrere Domains gleichzeitig auszustellen. Ein Wildcard-Zertifikat (*.example.com) deckt alle Subdomains einer Domain ab. Das spart Kosten und Verwaltungsaufwand bei größeren Projekten.
SSL-Zertifikate haben eine begrenzte Gültigkeit (heute meist 90 Tage bei Let's Encrypt, bis zu 1 Jahr bei kommerziellen CAs). Ist ein Zertifikat abgelaufen, zeigt der Browser eine Sicherheitswarnung und rät vom Besuch der Seite ab. Für Website-Betreiber ist es daher wichtig, die Erneuerung rechtzeitig zu automatisieren.