Glossar: TLS

TLS: Verschlüsselung für sichere Datenübertragung

TLS (Transport Layer Security) ist ein kryptografisches Verschlüsselungsprotokoll, das die sichere Übertragung von Daten zwischen Client und Server über das Internet gewährleistet. Als Nachfolger von SSL schützt TLS vor Abhören, Manipulation und Identitätsfälschung bei der Kommunikation zwischen Webbrowser und Webserver.

Was macht TLS?

TLS erfüllt drei zentrale Sicherheitsfunktionen, die für sichere Online-Kommunikation unverzichtbar sind:

Verschlüsselung: Alle übertragenen Daten werden kryptografisch verschlüsselt, sodass Dritte die Inhalte nicht mitlesen können – selbst wenn sie den Datenverkehr abfangen.

Authentifizierung: TLS stellt sicher, dass du tatsächlich mit dem beabsichtigten Server kommunizierst und nicht mit einem Angreifer, der sich als legitimer Server ausgibt.

Integrität: Das Protokoll garantiert, dass Daten während der Übertragung nicht unbemerkt verändert werden können. Jede Manipulation wird erkannt.

Ohne TLS würden Passwörter, Kreditkartendaten, persönliche Nachrichten und andere sensible Informationen im Klartext durchs Internet wandern – für jeden technisch versierten Angreifer sichtbar.

TLS vs. SSL: Was ist der Unterschied?

Viele sprechen noch immer von „SSL-Zertifikaten“ oder „SSL-Verschlüsselung“, obwohl tatsächlich TLS gemeint ist. Hier die wichtigsten Unterschiede:

SSL (Secure Sockets Layer) war das ursprüngliche Verschlüsselungsprotokoll, entwickelt von Netscape in den 1990er Jahren. Die letzte Version SSL 3.0 wurde 1996 veröffentlicht und gilt seit 2015 offiziell als unsicher.

TLS (Transport Layer Security) ist der technische Nachfolger von SSL. Die erste Version TLS 1.0 erschien 1999 als Weiterentwicklung von SSL 3.0. Heute wird ausschließlich TLS verwendet – die Bezeichnung „SSL“ hat sich jedoch umgangssprachlich gehalten.

Warum die Verwirrung? Der Begriff „SSL“ ist im allgemeinen Sprachgebrauch geblieben, obwohl die Technologie längst veraltet ist. Wenn jemand heute von „SSL“ spricht, meint er in der Regel TLS. Auch Zertifikate werden oft noch als „SSL-Zertifikate“ bezeichnet, obwohl sie für TLS genutzt werden.

TLS-Versionen im Überblick

TLS hat seit seiner Einführung mehrere Versionssprünge gemacht. Nicht alle sind noch sicher:

TLS 1.0 (1999): Die erste TLS-Version. Gilt heute als veraltet und unsicher, wird von modernen Browsern nicht mehr unterstützt.

TLS 1.1 (2006): Verbesserte die Sicherheit gegenüber TLS 1.0, ist aber ebenfalls nicht mehr zeitgemäß. Seit 2020 von allen großen Browsern deaktiviert.

TLS 1.2 (2008): Bis vor kurzem der Standard. Bietet robuste Sicherheit und wird noch weit verbreitet eingesetzt. Unterstützt moderne Verschlüsselungsalgorithmen und ist für die meisten Anwendungen ausreichend sicher.

TLS 1.3 (2018): Die aktuelle Version. Deutlich schneller und sicherer als TLS 1.2. Reduziert den Verbindungsaufbau (Handshake), entfernt veraltete Algorithmen und minimiert Angriffsflächen. Sollte überall dort aktiviert sein, wo möglich.

Empfehlung: Deine Website sollte mindestens TLS 1.2 unterstützen, idealerweise bereits TLS 1.3. Ältere Versionen solltest du aus Sicherheitsgründen deaktivieren.

Wie funktioniert TLS?

Die TLS-Verschlüsselung läuft in mehreren Schritten ab, die für den Benutzer unsichtbar im Hintergrund geschehen:

Der TLS-Handshake

Wenn du eine Website mit HTTPS aufrufst, startet der Browser einen sogenannten TLS-Handshake:

  1. Client Hello: Dein Browser sendet eine Anfrage an den Server und teilt mit, welche TLS-Versionen und Verschlüsselungsalgorithmen er unterstützt.
  2. Server Hello: Der Server wählt die beste gemeinsame TLS-Version und einen passenden Verschlüsselungsalgorithmus aus. Er sendet sein digitales Zertifikat zurück.
  3. Zertifikatsprüfung: Dein Browser überprüft das Zertifikat: Ist es von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt? Ist es noch gültig? Gehört es zur aufgerufenen Domain?
  4. Schlüsselaustausch: Browser und Server einigen sich auf einen gemeinsamen Sitzungsschlüssel, mit dem die weitere Kommunikation verschlüsselt wird.
  5. Verschlüsselte Verbindung: Ab jetzt werden alle Daten zwischen Browser und Server verschlüsselt übertragen.

Bei TLS 1.3 wurde dieser Prozess optimiert und benötigt einen Verbindungsschritt weniger als bei TLS 1.2 – was die Ladezeiten verbessert.

TLS-Zertifikate: Der Ausweis deiner Website

Damit TLS funktioniert, benötigt dein Webserver ein digitales Zertifikat. Dieses wird von einer Zertifizierungsstelle (Certificate Authority, kurz CA) ausgestellt und bestätigt die Identität deiner Website.

Ein TLS-Zertifikat enthält:

  • Den Domainnamen der Website
  • Die Organisation (bei erweiterten Zertifikaten)
  • Die Gültigkeitsdauer
  • Den öffentlichen Schlüssel für die Verschlüsselung
  • Die digitale Signatur der Zertifizierungsstelle

Zertifikatstypen:

Domain Validation (DV): Bestätigt nur, dass du die Domain kontrollierst. Schnell und günstig, oft kostenlos über Let’s Encrypt erhältlich.

Organization Validation (OV): Zusätzliche Überprüfung deiner Organisation. Vertrauenswürdiger als DV, aber aufwändiger zu bekommen.

Extended Validation (EV): Höchste Vertrauensstufe mit umfangreicher Unternehmensprüfung. Zeigte früher den grünen Adressbalken im Browser, heute nur noch im Zertifikatsdetail sichtbar.

Für die meisten Websites reicht ein DV-Zertifikat völlig aus. Let’s Encrypt bietet diese kostenlos an – fast alle modernen Webhoster unterstützen die automatische Installation.

TLS bei WordPress-Websites

Für WordPress-Betreiber ist TLS besonders wichtig, da viele sensible Daten übertragen werden: Login-Zugänge, Benutzerinformationen, Formulardaten und mehr.

TLS aktivieren

Die meisten Webhoster bieten heute automatisch TLS-Zertifikate über Let’s Encrypt an. Die Einrichtung erfolgt meist mit wenigen Klicks im Hosting-Control-Panel:

  1. Zertifikat aktivieren: In den Hosting-Einstellungen für deine Domain das TLS/SSL-Zertifikat aktivieren.
  2. WordPress-URLs anpassen: In den WordPress-Einstellungen unter „Allgemein“ die URLs von http:// auf https:// ändern.
  3. Weiterleitung einrichten: Eine automatische Weiterleitung von HTTP zu HTTPS über die .htaccess-Datei oder ein Plugin wie „Really Simple SSL“ einrichten.
  4. Mixed Content prüfen: Sicherstellen, dass alle Ressourcen (Bilder, Skripte, Stylesheets) ebenfalls über HTTPS geladen werden.

Häufige Probleme und Lösungen

„Nicht sicher“-Warnung trotz Zertifikat: Meist liegt das an Mixed Content – einzelne Ressourcen werden noch über HTTP geladen. Browser-Konsole öffnen und Fehler prüfen.

Zertifikat läuft ab: Let’s Encrypt-Zertifikate sind 90 Tage gültig, sollten aber automatisch erneuert werden. Prüfe die Auto-Renewal-Einstellungen bei deinem Hoster.

Weiterleitungsschleife: Kann passieren, wenn Server und WordPress unterschiedliche Protokolle erwarten. Oft hilft es, in der wp-config.php folgende Zeilen hinzuzufügen:

if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && $_SERVER['HTTP_X_FORWARDED_PROTO'] === 'https') {
    $_SERVER['HTTPS'] = 'on';
}

Performance-Einbußen: TLS 1.3 ist schneller als ältere Versionen. Stelle sicher, dass dein Server die aktuelle Version nutzt. Moderne Server und CDNs optimieren den TLS-Handshake automatisch.

TLS und Suchmaschinen

Google verwendet HTTPS seit 2014 als Rankingfaktor. Websites mit TLS-Verschlüsselung werden gegenüber unverschlüsselten Seiten bevorzugt – wenn auch nur minimal.

Wichtiger ist: Chrome und andere Browser kennzeichnen Websites ohne TLS mittlerweile als „Nicht sicher“. Das schreckt Besucher ab und schadet deinem Vertrauen. Spätestens bei Formularen oder Login-Bereichen ist TLS unverzichtbar.

SEO-Tipp: Beim Umstieg von HTTP auf HTTPS solltest du 301-Weiterleitungen einrichten und die neue HTTPS-Version in der Google Search Console verifizieren.

Rechtliche Anforderungen: DSGVO und TLS

Die DSGVO fordert „angemessene technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten. TLS-Verschlüsselung gehört zu diesen Maßnahmen.

Pflicht bei:

  • Kontaktformularen
  • Newsletter-Anmeldungen
  • Login-Bereichen
  • E-Commerce-Transaktionen
  • Jeglicher Übertragung personenbezogener Daten

Ohne TLS riskierst du nicht nur Sicherheitslücken, sondern auch Abmahnungen und Bußgelder. Die Verschlüsselung ist heute Standard und sollte auf jeder professionellen Website aktiviert sein.

TLS-Verschlüsselung prüfen

Du kannst die TLS-Konfiguration deiner Website mit verschiedenen Tools überprüfen:

SSL Labs Server Test: Umfassende Analyse der TLS-Konfiguration mit detailliertem Report und Sicherheitsbewertung (A+ bis F). Zeigt unterstützte Protokolle, Cipher Suites und potenzielle Schwachstellen.

Browser-Entwicklertools: In Chrome oder Firefox kannst du über die Entwicklertools (F12) im Reiter „Security“ Details zur TLS-Verbindung sehen.

Qualys SSL Pulse: Gibt einen Überblick darüber, welche TLS-Versionen weltweit im Einsatz sind – hilfreich, um deine Konfiguration mit dem Standard zu vergleichen.

Checkliste: TLS richtig implementieren

  • TLS-Zertifikat beim Hoster aktivieren (idealerweise Let’s Encrypt)
  • WordPress-URLs auf HTTPS umstellen
  • Automatische Weiterleitung von HTTP zu HTTPS einrichten
  • Mixed Content eliminieren (alle Ressourcen über HTTPS laden)
  • TLS 1.2 und 1.3 aktivieren, ältere Versionen deaktivieren
  • Zertifikat auf automatische Verlängerung prüfen
  • HTTPS in Google Search Console verifizieren
  • SSL Labs Test durchführen (Ziel: mindestens A-Rating)
  • Interne Verlinkungen auf HTTPS aktualisieren
  • Canonical-Tags auf HTTPS prüfen

Häufige Fragen zu TLS

Ist TLS kostenlos?
Ja, über Let’s Encrypt kannst du kostenlose TLS-Zertifikate beziehen. Die meisten Webhoster bieten diese automatisiert an. Kostenpflichtige Zertifikate bieten bei größeren Unternehmen zusätzliche Garantien und erweiterte Validierung.

Macht TLS meine Website langsamer?
TLS 1.3 ist so optimiert, dass der Performance-Unterschied kaum messbar ist. Die Verschlüsselung kostet minimale Rechenleistung, der Geschwindigkeitsverlust liegt im Millisekundenbereich. Die Sicherheitsvorteile überwiegen bei weitem.

Kann ich TLS selbst installieren?
Technisch ja, praktisch übernimmt das meist dein Webhoster. Bei Managed WordPress Hosting ist TLS oft bereits vorinstalliert. Bei Root-Servern oder VPS kannst du Certbot (Let’s Encrypt) manuell installieren.

Wie erkenne ich eine TLS-gesicherte Website?
Am Schloss-Symbol in der Adresszeile des Browsers und am https:// vor der URL. Ein Klick auf das Schloss zeigt Details zum Zertifikat.

Was passiert, wenn mein Zertifikat abläuft?
Besucher erhalten eine Sicherheitswarnung, und die meisten Browser blockieren den Zugriff zur Website. Let’s Encrypt-Zertifikate sollten automatisch erneuert werden – stelle sicher, dass die Automatisierung funktioniert.

Mach deine Website fit für mehr Sichtbarkeit, Geschwindigkeit und Nutzerfreundlichkeit

Sichere dir jetzt deinen kostenlosen 30-Minuten Website-Check im Zoom.
Wir prüfen deine Seite auf SEO, Ladezeit, UX und Barrierefreiheit – und geben dir konkrete Tipps, die du sofort umsetzen kannst.

Kostenlosen Check buchen
Zurück zum Glossar-Index
Autor: Tim Ehling
Der Autor: Tim Ehling

Seit über zwei Jahrzehnten beschäftige ich mich mit Webentwicklung – und seit 2006 ganz besonders intensiv mit WordPress. Ich entwickle und optimiere Webseiten, betreue sie langfristig durch zuverlässige Wartung und biete Schulungen für alle, die WordPress sicher und effizient nutzen möchten. Außerdem unterstütze ich Unternehmen dabei, ihre Social-Media-Kanäle und SEO-Strategien so zu verbessern, dass sie bei Kunden und Suchmaschinen gleichermaßen gut ankommen.

Schwerpunkte:
✔ Webentwicklung ✔ WordPress-Updateservice
✔ WordPress-Schulungen ✔ Social-Media-Checkups
✔ Suchmaschinenoptimierung (SEO) ✔ KI ✔ Generative Engine Optimization (GEO)

Alle Beiträge von Tim Ehling lesen Tim Ehling auf LinkedIn