Ist HTTPS dasselbe wie SSL? Und was ist der Unterschied zwischen SSL und TLS?
Kurzantwort
HTTPS ist kein eigenes Protokoll — es ist ganz normales HTTP, das innerhalb eines verschlüsselten TLS-Tunnels läuft. SSL ist der alte Name: SSL 2.0/3.0 sind die veralteten, unsicheren Vorgänger von TLS, das sie abgelöst hat (TLS 1.0 bis 1.3). Wenn Leute „SSL-Zertifikat“ oder „SSL“ sagen, meinen sie fast immer eigentlich TLS.
Diese Frage stapelt zwei Fallen übereinander: HTTPS mit SSL zu verwechseln und die SSL/TLS-Abstammung verkehrt herum zu bekommen. Schlampige Terminologie hier signalisiert oberflächliches Wissen, selbst wenn der Kandidat Verschlüsselung „kennt“.
HTTPS ist nichts Eigenes
HTTPS ist schlicht HTTP, das auf TLS aufgesetzt ist. Das Anwendungsprotokoll (HTTP) bleibt unverändert; es läuft nur innerhalb eines verschlüsselten, authentifizierten Tunnels, den TLS zuvor aufbaut. TLS liefert Vertraulichkeit, Integrität und Server-Authentifizierung; HTTP fließt dann hindurch. „Ist HTTPS dasselbe wie SSL?“ ist also ein Kategorienfehler — das eine ist ein Anwendungsprotokoll über einem sicheren Transport, das andere ist (ein alter Name für) diesen sicheren Transport.
SSL versus TLS: Was kam zuerst
SSL (Secure Sockets Layer) kam zuerst — SSL 2.0 und 3.0. Beide sind heute veraltet und gebrochen (POODLE hat SSL 3.0 erledigt). TLS (Transport Layer Security) ist der Nachfolgestandard: TLS 1.0, 1.1 (beide veraltet), 1.2 und 1.3 (aktuell). Der Ablenker, der sagt „SSL ist aktuell, TLS ist das alte“, ist genau die Umkehrung, auf die Interviewer hören.
Warum der Name fortbesteht
Gewohnheit und Marketing. „SSL-Zertifikat“ ist geblieben, obwohl jedes moderne Zertifikat mit TLS verwendet wird. Das Protokoll auf dem Draht ist heute TLS; „SSL“ ist umgangssprachliche Kurzform.
Worauf Interviewer achten
Ein klares „HTTPS = HTTP über TLS“, die richtige Chronologie (SSL, dann TLS) und das Bewusstsein, dass „SSL“ im umgangssprachlichen Gebrauch TLS meint. Die Reihenfolge richtig hinzubekommen ist das eigentliche Erkennungszeichen.
Wahrscheinliche Anschlussfragen
- Welche SSL/TLS-Versionen gelten heute als unsicher und warum?
- Wenn HTTPS „HTTP über TLS“ ist, was fügt TLS dem HTTP eigentlich hinzu?
- Warum sagen wir noch „SSL-Zertifikat“, wenn wir TLS meinen?