Wenn du eine Website betreibst, möchtest du wahrscheinlich wissen, wie du deine Website so sicher wie möglich machen kannst. Die Absicherung deiner Website und die Umstellung auf HTTPS sollte eine Priorität sein. Wahrscheinlich hast du schon von zwei Begriffen gehört, die wichtig sind, um dieses Ziel zu erreichen: TLS und SSL. Was bedeuten sie? Ist das eine besser als das andere? Welches solltest du verwenden, um die sicherste Website zu haben, die es gibt?
Wir erklären dir die Unterschiede und Gemeinsamkeiten der beiden Protokolle und zeigen dir, was du für die Sicherheit deiner Website tun solltest.
Was sind SSL und TLS?
Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind beides Sicherheitsprotokolle, die dazu beitragen, Daten zu schützen und deine Website für die Endnutzer*innen sicherer zu machen. Beide Protokolle führen zu einer Ende-zu-Ende-Verschlüsselung zwischen der Website und dem Gerät des Nutzers. Das schafft Vertrauen bei Nutzern*innen und Suchmaschinen gleichermaßen. Unabhängig davon, ob du deine Website mit TLS oder SSL sicherst, schützt du deine eigenen Daten und (was vielleicht noch wichtiger ist) die deiner Nutzer/innen vor möglichen Hackerangriffen oder bösartigen Aktivitäten.
Website-Betreiber*innen erwerben sowohl TLS- als auch SSL-Zertifikate, um eine Website von HTTP (Hypertext Transfer Protocol) auf HTTPS (Hypertext Transfer Protocol Secure) umzustellen. Wenn eine Website sicher ist, wird in der Adressleiste des Browsers ein Sicherheitsschloss-Symbol angezeigt. Ein Sicherheitszertifikat für deine Website signalisiert den Browsern, dass der Zugriff auf die Website sicher ist, und gibt dem Nutzer die Gewissheit, dass seine Daten geschützt sind.
Jede Website braucht ein TLS- oder SSL-Zertifikat. Es hilft bei den Suchergebnissen und schützt vor Hackern*innen und anderen gefährlichen Situationen. Aber es ist besonders wichtig, wenn du auf deiner Website Zahlungsinformationen verarbeitest oder sensible Daten speicherst. Es ist nur ein Teil deines Puzzles für eine vollständige, abgeschlossene Website-Sicherheit, aber es ist ein wichtiges.
Was ist der Unterschied zwischen TLS und SSL?
Im Ergebnis bieten TLS und SSL dasselbe: verschlüsselte Sicherheit für deine Website. Du wirst wahrscheinlich hören, dass die Begriffe in Bezug auf die Zertifikate synonym verwendet werden. Obwohl TLS und SSL technisch gesehen nicht dasselbe sind. Beide Protokolle verwenden ein Verfahren, das Handshake genannt wird, um eine verschlüsselte Verbindung herzustellen. Im Grunde genommen fragen die beiden Rechner nach der ID des anderen und wenn diese stimmt, können sie Geschäfte machen.
Damit enden die technischen Ähnlichkeiten. Jedes kryptografische Protokoll funktioniert anders, um das gleiche Ergebnis zu erzielen.
Kurz gesagt: Der aktuelle Standard von TLS 1.3 im Vergleich zu SSL (und älteren TLS-Standards) besteht darin, die Latenzzeit zu verkürzen, um schnellere Ladezeiten zu erreichen, was heutzutage für jede Website unerlässlich ist, überflüssigen Code zu entfernen, um die Anzahl der Angriffsmöglichkeiten auf deine Website zu verringern, und einen einzigen Handshake zwischen den Punkten statt mehrerer zu verwenden, was wiederum die Anzahl der Angriffsmöglichkeiten auf deine Sicherheit verringert.
SSL wurde erstmals 1995 veröffentlicht und ist der Vorgänger von TLS. Alle drei Versionen von SSL wurden seitdem in Bezug auf Sicherheitslücken als mangelhaft eingestuft. Tatsächlich wurde die erste Version nie veröffentlicht. Später erklärte die Internet Engineering Task Force (IETF) alle Versionen von SSL für veraltet.
Trotzdem wird der Begriff SSL immer noch häufig verwendet, um die Sicherheitszertifikate zu beschreiben, die Webseitenbenutzer*innen erwerben müssen. In den meisten Fällen ist das eigentliche Protokoll, das hinter den Kulissen ausgeführt wird, jedoch TLS. Heute sind die Versionen 1.2 und 1.3 von TLS die einzigen Versionen der beiden Protokolle (TLS vs. SSL), die noch nicht von der IETF oder den großen Browsern veraltet sind. Wenn du mehr über die technischen Feinheiten von TLS 1.3 und seine Funktionsweise lesen möchtest, findest du bei Cloudflare einen ausgezeichneten Beitrag, der die Spezifikationen erläutert.
Sollte deine Website TLS oder SSL haben?
Im Laufe der Jahre ist SSL fast vollständig durch TLS ersetzt worden. Auch wenn du immer noch häufiger von „SSL-Zertifikaten“ als von TLS-Zertifikaten hörst, ist das zugrunde liegende Protokoll wahrscheinlich TLS. Unabhängig davon, wie es genannt wird.
Deine Website sollte TLS verwenden, da es mittlerweile das von der IETF anerkannte Standardprotokoll für die Sicherheit von Websites ist. Wenn dein Webhoster SSL-Zertifikate mit dem Hosting anbietet (oder du dir selbst eines besorgst), wird es wahrscheinlich trotzdem über das TLS-Protokoll funktionieren, auch wenn es SSL heißt. Wenn du die bestmögliche Sicherheit für WordPress anstrebst, musst du sicherstellen, dass du hier auf der sicheren Seite bist.
Aus verschiedenen Sicherheitsgründen müssen SSL und ältere TLS-Versionen auf der Serverseite deiner Website deaktiviert werden. Wenn du dich mit der Arbeit auf dem Server nicht auskennst, solltest du deinen Website-Host oder einen Entwickler*in bitten, dir dabei zu helfen. Schließlich bezahlst du sie ja dafür! Wenn du sicherstellst, dass veraltete Versionen von SSL und TLS die Aktivierung älterer Protokolle verhindern, schützt du deine Website zusätzlich vor Sicherheitsbedrohungen und Eindringlingen.
Was ist mit beidem?
Aufgrund der Ähnlichkeiten, der Geschichte und der etwas verwirrenden Namenskonventionen fragst du dich vielleicht, ob Website-Besitzer*innen sowohl ein SSL- als auch ein TLS-Zertifikat brauchen, um ihre Websites richtig zu sichern. Nein! Heutzutage erfüllen SSL- und TLS-Zertifikate dieselbe Aufgabe. Das Zertifikat selbst bietet keine Sicherheit für deine Website. Stattdessen ermöglicht es nur, dass das TLS-Protokoll im Hintergrund seine Arbeit verrichten kann. Das erklärt auch, warum die Namenskonventionen so verworren sind – damit die Dinge mit dem übereinstimmen, was die Leute zu hören gewohnt sind.
Wie du TLS und SSL auf deiner WordPress-Website verwendest
Die Verwendung von TLS und SSL auf deiner WordPress-Website ist ziemlich einfach. Zuerst musst du dir ein Zertifikat besorgen (wie wir bereits erwähnt haben, wird es meist als SSL-Zertifikat bezeichnet). Es gibt sowohl kostenpflichtige als auch kostenlose Optionen. Das bedeutet, dass du dir ein Zertifikat besorgen kannst, das am besten zu deinem Budget und zu der Art deiner Website passt. Vielleicht bist du in einer Branche tätig, die ein höheres Maß an Sicherheit und Kontrolle erfordert, als ein kostenloses Zertifikat bieten kann. In diesem Fall solltest du dich für ein kostenpflichtiges SSL-Zertifikat entscheiden.
Es gibt verschiedene Möglichkeiten, ein SSL-Zertifikat für deine WordPress-Website zu erhalten. Sie sind alle ziemlich einfach.
• Besorge dir ein kostenloses SSL-Zertifikat von Anbietern wie ZeroSSL oder SSL For Free (diese müssen alle 90 Tage manuell erneuert werden und bieten keinen ausführlichen Kundendienst).
• Kaufe ein Webhosting bei einem Unternehmen, das ein SSL-Zertifikat als Teil deines Hostingpakets anbietet, z. B. SiteGround, Flywheel und Pressable.
• Erhöhe die Sicherheit deiner Website, indem du ein CDN wie Cloudflare nutzt.
• Verwende ein WordPress-Plugin wie Really Simple SSL, um dein SSL-Zertifikat zu implementieren.
Sobald du das Zertifikat eingerichtet hast, solltest du sicherstellen, dass alle Links auf deine HTTPS-Seite umgeleitet werden und nicht auf eine HTTP-Seite. Wenn du das nicht tust, könnte Google dich für eine unsichere Website bestrafen. So stellst du sicher, dass du nicht angezeigt wirst, wenn Nutzer*innen versuchen, auf deine Website zuzugreifen. Es gibt WordPress-Plugins, mit denen du dies erreichen kannst, z. B. WP Force SSL & HTTPS Redirect. Alternativ kannst du deinen Webhoster*in oder einen Entwickler*in um Hilfe bei der richtigen Konfiguration deines Servers für die HTTPS-Weiterleitung bitten. Einige 301-Weiterleitungs-Plugins und SEO-Plugins bieten diese Funktion auch direkt in ihren Einstellungen an.
Fazit
Wenn von TLS und SSL die Rede ist und davon, dass beides unterschiedlich ist, sind beide richtig und falsch. Die technischen Spezifikationen sind unterschiedlich, aber die Namen sind heutzutage austauschbar. Im Grunde genommen beziehen sie sich auf einen Standard, der das gleiche Ergebnis liefert. Das TLS-Protokoll hat SSL ersetzt, weil es schneller und sicherer ist. Die Namen TLS und SSL bleiben jedoch austauschbar, wenn es um Sicherheitszertifikate geht.
Denke daran, dass die Sicherheit von WordPress mit TLS relativ einfach ist und bei weitem nicht so verwirrend wie die Namen und jetzt, wo du weißt, welches Protokoll du verwenden musst, ist es an der Zeit, deine Website zu sichern. Viel Glück!
Übersetzt von Sarah van der Linden
von Website Freiburg
Quelle, unser Divi Websoftware Partner Elegant Themes:
www.elegantthemes.com/blog/wordpress/tls-vs-ssl-which-protocol-should-you-use
