Als SSL-VPN (englische Schreibweise: SSL VPN ohne durchkoppelnden Bindestrich) bezeichnet man Systeme, die den Transport privater Daten über öffentliche Netzwerke ermöglichen und als Verschlüsselungsprotokoll TLS (alte Bezeichnung: SSL) verwenden.

Prinzipiell ist SSL als Verschlüsselungsprotokoll für VPN sowohl für Site-to-Site- als auch End-to-Site-VPNs geeignet. In den 1990er-Jahren gab es Systeme, die SSL als Sicherungsschicht für Site-to-Site-VPNs einsetzten. Mit der Entwicklung von IPsec und der zunehmenden Vernetzung über Organisationsgrenzen hinaus hat das standardisierte, interoperable IPsec sich als Alternative etabliert.

Der entscheidende Vorteil von SSL-VPN gegenüber IPsec ist die Bereitstellung des Netzwerk- und Applikationszugriffs für mobile Anwender, da die Konfiguration der Clients einfacher möglich ist als mit einer Lösung durch IPsec.

Alle heute üblichen SSL-VPN-Systeme verwenden den TCP-Port 443 (HTTPS) für die Datenübertragung. Dies hat gegenüber IPSec und anderen VPN-Technologien den Vorteil, mit Network Adress Translation ohne weiteres kompatibel zu sein und oft auch durch Proxys und Firewalls von Unternehmen hindurch den Zugriff zu ermöglichen. Neben der daraus folgenden Benutzbarkeit auch in fremden Organisationen (bei IPsec-VPN aufgrund der üblichen Firewallkonfigurationen in der Regel ausgeschlossen) ist bei einer Reihe von SSL-VPNs die Benutzung vieler Funktionen auch ohne vorangehende Installation einer Client-Software möglich.

Im Wesentlichen gibt es heute drei unterschiedliche Typen von SSL-VPNs:

  1. SSL-VPN-Systeme, die nur den Zugriff auf Webanwendungen mit einem Webbrowser ermöglichen, aber keine Anwendungen bereitstellen können, die die Übertragung von Netzwerkprotokollen erfordern. Diese SSL-VPNs erfordern keine Client-Installation. Der Namensbestandteil „VPN“ für diese Systeme ist umstritten, aber im Markt üblich.
  2. SSL-VPN-Systeme, die ähnlich wie andere VPN-Technologien (IPsec, L2TP, PPTP) arbeiten, aber SSL zur Datenübertragung bieten. Bei dieser Variante werden komplette IP-Pakete eingekapselt, wodurch sich die Verbindung mit dem SSL-VPN-Client aus Benutzersicht genauso verhält, wie dies bei einem IPsec-Tunnel der Fall wäre. Der Benutzer kann also lokale Anwendungen auf seinem PC verwenden, und durch den SSL-Tunnel auf Firmen-Server zugreifen (z.B. zur Software-Verteilung, DFS).
  3. SSL-VPN-Systeme, die sowohl den Zugriff auf Webanwendungen als auch einen Netzwerkzugriff auf das private Netzwerk ermöglichen. Bei diesen Systemen sind oft Komponenten vorhanden, die das Tunneln einzelner Kommunikationsbeziehungen ermöglichen (z.B. Outlook-Zugriff auf Exchange-Server), ohne dabei einen IP-Tunnel herstellen zu müssen (Beispiel: „Socket Forwarder“ in Microsoft IAG 2007).

Mischformen sind üblich. Eine einheitliche Nomenklatur für die Trennung der unterschiedlichen Typen hat sich im Markt bisher nicht durchgesetzt. Üblich ist die Bezeichnung allerdings für alle VPN-Systeme, die SSL/TLS als Verschlüsselungsprotokoll einsetzen und TCP-Port 443 (HTTPS) zur Datenübertragung verwenden.

Für die meisten SSL-VPNs gilt, dass eine Sitzung über eine Anmeldung auf eine Webseite gestartet wird. Auch das Starten von Nicht-Web-Applikationen geschieht in der Regel über diese Webseite (Portal). Dies gilt jedoch nicht für SSL-VPNs, die sich von klassischen VPNs nur durch das Übertragungsprotokoll unterscheiden; diese verwenden in der Regel einen Client, der installiert werden muss und über dessen Aufruf auch die Anmeldung am VPN erfolgt.