Bildnachweis: zviray
Die chronische Epidemie der Gesichtsblindheit, die die Bevölkerung von Metropolis befällt und sie daran hindert, zu erkennen, dass Clark Kent und der fliegende Außerirdische, der genauso aussieht wie er, eigentlich ein und dieselbe Person sind, erstreckt sich auch auf den Tech-Sektor, wo wir uns ständig darüber streiten, wie pedantisch wir den Unterschied zwischen „SSL“ und „TLS“ machen sollen.
Holen Sie sich das kostenlose Pen Testing Active Directory Environments EBook
Fairerweise ist die Situation weniger ein „SSL ist von der Erde“ und „TLS ist von Krypton“ als eine sehr positive Geschichte darüber, wie Verschlüsselungsstandards kontinuierlich verbessert wurden und wie die veralteten und unsicheren Methoden der Client- und Server-Kommunikation veraltet wurden, um die allgemeine Sicherheit des Internets zu erhöhen.
Was ist SSL?
Netscape entwickelte vor mehr als 20 Jahren die Version 1.0 des Secure Sockets Layer (SSL)-Protokolls, damit die Leute ihren Browser benutzen konnten, um sicher auf Geocities zu surfen und Star Trek-ASCII-Kunst sicher auszutauschen.
Wie alle ersten Versuche, praktische Krypto zu liefern, hatten auch die SSL-Versionen 1.0 bis 3.0 einige Sicherheitsprobleme auf, die iterative Veröffentlichungen von mehr und grundsätzlich sichereren Designs erforderlich machten.
Was ist TLS?
Im Jahr 1999 wurde die Version 1.0 des Transport Layer Security (TLS) Protokolls veröffentlicht. Die Namensänderung sollte verdeutlichen, dass es sich um einen offenen Standard handelt, den jedes Unternehmen oder Projekt einbinden kann, und nicht um ein proprietäres Produkt von Netscape (das damals noch die Webserver-Software „Netscape Enterprise Server“ verkaufte, die „SSL“ für die Transportverschlüsselung verwendete). Außerdem wurde TLS so konzipiert, dass es unabhängig von Anwendungsprotokollen ist, während SSL ursprünglich nur für HTTP-Verbindungen gedacht war.
Welches soll ich sagen?
Linguistisch gesehen hat der Begriff „SSL“ im Krieg um die Frage „Wie sollen wir das Ding nennen, das dafür sorgt, dass das Schloss auftaucht und grün ist?“ gewonnen. Als Beweis sehen Sie den Google-Trends-Vergleich von „SSL vs. TLS“.
Aus diesem Grund wird immer dann, wenn Sie über das Gesamtkonzept sprechen – oder wenn Sie versuchen, dies einem nicht-technischen Publikum zu erklären – „SSL“ zum allgemein akzeptierten Pauschalbegriff, da es höchstwahrscheinlich das ist, wovon sie schon gehört haben und die Vorteile einer klaren konzeptionellen Kommunikation in der Regel im Vordergrund stehen.
Wenn es um das Protokoll geht und darum, welche Versionen von SSL/TLS aktiviert werden sollten, wird „TLS“ zwangsläufig bevorzugt, da die genaue Version aufgrund von Änderungen in der Handhabung von Chiffren usw. wichtig ist.
Auf praktischer Ebene gibt es jedoch erhebliche Sicherheits- und Verwaltungsvorteile, wenn man weiß:
- Dass es verschiedene Versionen von SSL/TLS gibt.
- Dass sich ältere Systeme nicht mit neueren verbinden können, wenn es eine Protokollinkongruenz gibt. Wenn Sie sich jemals gefragt haben, warum der Internet Explorer auf einer neuen Windows 95-Installation keine Verbindung zu HTTPS-Sites herstellen kann, haben Sie hier die Antwort.
- Dass Sie eine Unternehmensrichtlinie haben sollten, die nur neuere Versionen von TLS aktiviert. (TLS 1.0 ist für die PCI-Compliance nicht akzeptabel)
- Dass viele Geräte und Anwendungen immer noch ältere, unsichere Versionen von TLS/SSL unterstützen, die Sie gezielt deaktivieren müssen.
Schließlich ist die Frage „Was ist der Unterschied zwischen SSL und TLS?“ eine gute Frage – und sei es nur, um diese praktischen Punkte zu diskutieren und zu verdeutlichen, warum die Feinheiten der Sicherheitsprotokolle wichtig sind.