SSL/TLS und SSH sind beides Verschlüsselungsprotokolle, die Public-Key-Kryptografie verwenden. Aber sie lösen unterschiedliche Probleme für unterschiedliche Zielgruppen. SSL/TLS sichert Webverbindungen (HTTPS). SSH sichert den Fernzugriff auf Server (Terminal/Kommandozeile).
Schnellvergleich
| SSL/TLS | SSH | |
|---|---|---|
| Vollständiger Name | Secure Sockets Layer / Transport Layer Security | Secure Shell |
| Zweck | Webverkehr verschlüsseln | Fernzugriff auf Server |
| Genutzt von | Browsern, Webservern, APIs | Systemadministratoren, Entwicklern |
| Port | 443 (HTTPS) | 22 |
| Authentifizierung | Zertifikat von einer CA | Public Key oder Passwort |
| Certificate Authority benötigt | Ja (für öffentliches Vertrauen) | Nein |
| Typischer Nutzer | Website-Besucher (unbewusst) | Serveradministratoren (bewusst) |
| Verbindungstyp | Client (Browser) → Server | Benutzer-Terminal → Server |
| Verschlüsselt | HTTP-Anfragen/-Antworten | Shell-Befehle, Dateiübertragungen |
| Beispiele | HTTPS-Websites, APIs, E-Mail (IMAPS) | ssh user@server, scp, sftp |
SSL/TLS in einem Absatz
SSL/TLS verschlüsselt die Verbindung zwischen einem Webbrowser und einem Server. Wenn Sie https://example.com besuchen, überprüft Ihr Browser das SSL-Zertifikat des Servers (ausgestellt von einer Certificate Authority), handelt Verschlüsselungsparameter aus, und der gesamte Datenverkehr fließt über einen verschlüsselten Kanal. Der Nutzer muss nichts tun — HTTPS ist transparent.
SSH in einem Absatz
SSH verschlüsselt die Verbindung zwischen dem Terminal eines Benutzers und einem entfernten Server. Wenn Sie ssh user@server.com ausführen, überprüft der SSH-Client den öffentlichen Schlüssel des Servers (Sie bestätigen beim ersten Verbinden), authentifiziert Sie (mit Passwort oder SSH-Schlüsselpaar) und gibt Ihnen eine verschlüsselte Shell-Sitzung. SSH wird von Entwicklern und Administratoren genutzt — normale Nutzer interagieren selten damit.
Sie verwenden ähnliche Kryptografie
Beide Protokolle verwenden die gleiche zugrunde liegende Mathematik:
| Konzept | In SSL/TLS | In SSH |
|---|---|---|
| Asymmetrische Verschlüsselung | Öffentlicher Schlüssel des Servers im Zertifikat | Host-Key des Servers + SSH-Key des Benutzers |
| Schlüsselaustausch | ECDHE Diffie-Hellman | Diffie-Hellman oder ECDH |
| Symmetrische Verschlüsselung | AES-GCM, ChaCha20 | AES, ChaCha20 |
| Integrität | HMAC / AEAD | HMAC / AEAD |
| Forward Secrecy | Über ECDHE (obligatorisch in TLS 1.3) | Über DH/ECDH |
Die Algorithmen sind nahezu identisch. Der Unterschied liegt in der Protokollschicht und dem Vertrauensmodell.
Der Unterschied im Vertrauensmodell
SSL/TLS: Certificate Authorities
SSL/TLS nutzt Vertrauen durch Dritte. Ihr Browser vertraut ~100-150 Certificate Authorities. Wenn ein Server ein Zertifikat vorlegt, das von einer vertrauenswürdigen CA signiert wurde, akzeptiert der Browser es automatisch.
Sie vertrauen darauf, dass CAs sicherstellen, dass das Zertifikat von google.com tatsächlich Google gehört.
SSH: Trust on First Use (TOFU)
SSH nutzt direktes Vertrauen. Beim ersten Verbinden mit einem Server fragt SSH:
The authenticity of host 'server.com' can't be established.
ED25519 key fingerprint is SHA256:xyz...
Are you sure you want to continue connecting? (yes/no)
Sie überprüfen den Fingerprint einmal, SSH merkt ihn sich (~/.ssh/known_hosts), und zukünftige Verbindungen werden dagegen verifiziert. Keine CA involviert.
Können sie zusammen verwendet werden?
Ja — sie ergänzen sich, sie konkurrieren nicht:
- SSL/TLS sichert die Website, die Ihre Besucher sehen (
https://example.com) - SSH sichert, wie Sie den Server verwalten, auf dem die Website läuft (
ssh admin@server) - Sie könnten sich per SSH auf einen Server verbinden, um ein SSL-Zertifikat auf Nginx zu installieren
Die meisten Server haben gleichzeitig Port 443 (HTTPS mit SSL/TLS) und Port 22 (SSH) geöffnet.
Häufig gestellte Fragen
Welches ist sicherer?
Keines — beide sind gleich sicher, wenn sie richtig konfiguriert sind. Beide verwenden die gleichen kryptografischen Algorithmen. Die Frage ist wie “Was ist sicherer, ein Schloss an Ihrer Haustür oder ein Schloss an Ihrem Auto?” Sie schützen verschiedene Dinge.
Brauche ich beides?
Für einen Webserver: typischerweise ja. SSL/TLS schützt Ihre Besucher (HTTPS). SSH schützt Ihren Zugang zum Server (Administration). Sie dienen unterschiedlichen Zwecken.
Ist SFTP dasselbe wie FTPS?
Nein. SFTP (SSH File Transfer Protocol) läuft über SSH (Port 22). FTPS (FTP Secure) läuft über SSL/TLS (Port 990 oder 21 mit STARTTLS). Beide verschlüsseln Dateiübertragungen, verwenden aber unterschiedliche Protokolle. SFTP ist verbreiteter und einfacher zu konfigurieren.
Kann SSL/TLS SSH ersetzen?
Nein. SSL/TLS bietet keine Shell oder Kommandozeilen-Schnittstelle. Sie können sich nicht per TLS “auf einen Server per SSH verbinden”. Einige webbasierte Terminals (wie Wetty oder ttyd) bieten Shell-Zugang über HTTPS/WebSocket, aber das zugrunde liegende Konzept ist anders.