Hackerparagraph,IT-Security, Linux Bild © DALL-EHackerparagraph,IT-Security, Linux (Bild © DALL-E)

Begriffsklärung: SSL, TLS und HTTPS

Die Begriffe SSL, TLS und HTTPS werden bis heute oft durcheinandergeworfen. SSL steht für Secure Sockets Layer und war in den 1990er Jahren der erste große Standard zur verschlüsselten Datenübertragung im Web. SSL 2.0 erschien 1995, SSL 3.0 folgte 1996.

Schon 1999 wurde mit TLS (Transport Layer Security) tatsächlich der modernere Nachfolger eingeführt. Technisch wird heute praktisch nur noch TLS verwendet, auch wenn im Alltag noch überall von „SSL“ die Rede ist.

Der Grund dafür ist unspektakulär. SSL hat sich früh und fest etabliert und in den Köpfen sowie in den Suchmaschinen festgesetzt. Es ist in vielen Branchen zu einem wichtigen Such-Keyword geworden, dass sich nicht einfach so ersetzen lässt. HTTPS hingegen steht für Hypertext Transfer Protocol Secure. Gemeint ist damit die geschützte Version des normalen Webseitenprotokolls HTTP. Wenn im Browser ein Schloss-Symbol erscheint, läuft die Verbindung in der Regel über HTTPS und im Hintergrund über TLS.

Wie TLS Daten und Online-Zahlungen schützt

Die meisten Menschen nutzen das Internet heute nicht nur zum allgemeinen Recherchieren oder Surfen, sondern auch für Arbeit, Banking, Kauf und Verkauf. Gerade wenn neben personenbezogene Daten auch Zahlungsdaten übermittelt werden, muss maximale Sicherheit gewährleistet werden können.

Eine solche Datenkombination entsteht zum Beispiel beim Online-Banking, bei Mikrotransaktionen oder bei Einzahlungen ins Online-Casino, um Slots mit hoher Auszahlungsquote zu spielen. Legale Anbieter wie JackpotPiraten erfüllen daher genauso hohe Sicherheitsstandards wie Banken oder große E-Commerce-Plattformen.

TLS sorgt in solchen Fällen dafür, dass die übertragenen Daten nicht einfach auf dem Weg zwischen Nutzer und Website abgefangen werden können. Sobald eine verschlüsselte Verbindung aufgebaut ist, werden sensible Informationen wie Namen, Adressen, Login-Daten oder Zahlungsinformationen nur noch in geschützter Form übertragen. Wer die Daten unterwegs abfängt, sieht dann keinen direkt lesbaren Inhalt mehr.

Gerade bei Online-Zahlungen ist das entscheidend. Ohne TLS könnten Zugangsdaten, Kartendaten oder Zahlungsbestätigungen theoretisch mitgelesen oder sogar manipuliert werden. Genau das soll die Verschlüsselung verhindern. Gleichzeitig prüft TLS auch, ob die Website wirklich die ist, für die sie sich ausgibt. Das schützt Nutzer davor, versehentlich auf eine gefälschte Seite hereinzufallen.

Bei einer Einzahlung oder einem Kauf läuft im Hintergrund also deutlich mehr ab als nur ein einfacher Datentransfer. TLS schafft die technische Grundlage dafür, dass Zahlungen sicher, vertraulich und unverändert verarbeitet werden können. Ohne diese Absicherung wäre moderner Online-Handel in seiner heutigen Form praktisch undenkbar.

Das Zusammenspiel von TLS und HTTPS

TLS und HTTPS gehören untrennbar zusammen, erfüllen aber unterschiedliche Aufgaben. HTTPS ist im Grunde nichts anderes als die sichere Variante des bekannten HTTP-Protokolls, also der Sprache, mit der Browser und Websites miteinander kommunizieren. TLS ist dabei die Technik im Hintergrund, die diese Kommunikation überhaupt erst absichert. Sobald eine Website über HTTPS aufgerufen wird, wird automatisch eine TLS-Verbindung aufgebaut. In diesem Moment findet ein sogenannter „Handshake“ statt, bei dem sich Browser und Server auf eine sichere Verbindung einigen.

Dabei wird unter anderem geprüft, ob das Zertifikat der Website gültig ist und ob die Verbindung vertrauenswürdig aufgebaut werden kann. Erst danach werden Daten übertragen. Diese sind dann vollständig verschlüsselt und für Dritte nicht lesbar. HTTPS ist also das sichtbare Zeichen für Sicherheit, während TLS die eigentliche Arbeit übernimmt. Ohne TLS gäbe es kein HTTPS und ohne HTTPS wäre sichere Kommunikation im Web nicht möglich.

Unsichere Seiten erkennen

Websites ohne HTTPS und TLS sind heute die absolute Ausnahme und fallen sofort negativ auf. Meist handelt es sich um veraltete Projekte, interne Systeme oder schlecht gewartete Seiten, bei denen Sicherheitsupdates lange ignoriert wurden.

Solche Angebote übertragen Daten unverschlüsselt, was bedeutet, dass Inhalte theoretisch mitgelesen oder manipuliert werden können. Moderne Browser reagieren darauf deutlich und kennzeichnen diese Seiten als „nicht sicher“.

Spätestens bei Formularen oder Logins wird das zum Problem. Für Nutzer entsteht ein klares Risiko, für Betreiber ein massiver Vertrauensverlust. Im heutigen Internet gilt deshalb: Eine Website ohne TLS wirkt nicht nur unsicher, sondern schlicht nicht mehr zeitgemäß.

TLS im Darknet

Beim Thema Verschlüsselung lohnt sich auch ein kurzer Blick ins Darknet. Wer den Tor Browser nutzt, bewegt sich in einem Netzwerk, in dem Verbindungen ohnehin schon mehrfach verschleiert und abgesichert werden. Der Datenverkehr läuft über mehrere Stationen, wodurch sich deutlich schwerer nachvollziehen lässt, woher eine Anfrage kommt und wohin sie geht. Klassisches HTTPS mit TLS ist dort nicht immer zwingend nötig, vor allem bei sogenannten .onion-Seiten. Diese arbeiten mit eigenen Schutzmechanismen innerhalb des Tor-Netzwerks.

Das heißt aber nicht, dass TLS dort bedeutungslos wäre. Sobald über den Tor Browser ganz normale Websites aufgerufen werden, bleibt HTTPS weiter wichtig. Auch im Darknet gilt also am Ende dasselbe wie im normalen Internet: Zusätzliche Schutzebenen schaden nie. Tor sorgt für Anonymität, TLS schützt die konkrete Datenübertragung.