Beiträge

In letzter Zeit hört man in den Nachrichten immer öfter von SSL und TLS. Diese Begriffe werden von Unternehmen wie Google verwendet, um mehr Menschen auf ihre Bedeutung beim Surfen aufmerksam zu machen (ich spreche von dir, Chrome).

Es gibt einen deutlichen Unterschied zwischen SSL und TLS. Beide Protokolle verschlüsseln Daten, die über das Internet gesendet werden. Diese Protokolle sind Ziele für Kryptographen, Netzwerksicherheitsexperten und Entwickler, die verschlüsselte Verbindungen zwischen einem Webserver und Browsern herstellen wollen.

Was sind SSL und TLS?

Eine sichere Verbindung ist verschlüsselt. Die Verschlüsselung schützt die von Ihnen gesendeten und empfangenen Daten, so dass sie von niemandem gelesen werden können.

Es gibt zwei Arten der Verschlüsselung: SSL und TLS. Jede hat ihre Vor- und Nachteile, aber beide bieten eine sichere Verbindung.

SSL (Transport Layer Security) ist ein kryptografisches Protokoll, das die Sicherheit der Kommunikation über ein Computernetz gewährleistet. Es schützt die Integrität und Vertraulichkeit von Daten durch die Verwendung von Verschlüsselung.

TLS, oder Transport Layer Security, ist ein Standard für die sichere Kommunikation über das Internet. Er ermöglicht die Kommunikation zwischen Client- und Server-Anwendungen über ein Netzwerk in einer Weise, die das Abhören und die Manipulation von Informationen verhindert.

Warum brauchen Sie ein SSL/TLS-Zertifikat?

SSL/TLS-Zertifikate verschlüsseln Daten, die zwischen Ihrer Website und Ihren Nutzern übertragen werden. Alle Informationen, die Sie senden, sind sicher und für andere nicht sichtbar. Dies ist wichtig für den Schutz sensibler Informationen wie Kreditkartennummern, Passwörter und anderer Daten.

Ohne ein SSL/TLS-Zertifikat kann jeder, der sich im selben Netzwerk wie Ihre Website befindet, den Datenverkehr zwischen Ihrem Server und den Webbrowsern Ihrer Nutzer abfangen. Dies könnte es ihnen ermöglichen, alle ausgetauschten Informationen zu sehen und sie sogar zu verändern, bevor sie auf die Reise geschickt werden.

Unterschied zwischen SSL und TLS

TLS und SSL ermöglichen eine sichere Authentifizierung und Datenübertragung über das Internet. Aber wie unterscheiden sich TLS und SSL voneinander? Müssen Sie sich darüber Gedanken machen?

SSL

TLS

Die Abkürzung SSL steht für Secure Sockets Layer,  TLS steht für Transport Layer Security.
Netscape schuf SSL im Jahr 1995. Die Internet Engineering Taskforce (IETF) entwickelte TLS zum ersten Mal 1999.
Hat drei Versionen:

  • SSL 1.0
  • SSL 2.0,
  • SSL 3.0.
Hat vier Versionen:

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2
  • TLS 1.3
In allen Versionen von SSL wurden Schwachstellen gefunden, und alle wurden abgeschafft.  Ab März 2020 werden TLS 1.0 und 1.1 nicht mehr unterstützt.

In den meisten Fällen wird TLS 1.2 verwendet.

Ein Webserver und ein Client kommunizieren sicher über SSL, ein kryptografisches Protokoll, das explizite Verbindungen verwendet. Mit TLS können der Webserver und der Client über implizite Verbindungen sicher kommunizieren. TLS hat SSL ersetzt.

Weitere wichtige Unterschiede in der Funktionsweise von SL und TLS sind folgende:

Authentifizierung von Nachrichten

Ein Hauptunterschied zwischen SSL und TLS ist die Nachrichtenauthentifizierung. SSL verwendet Nachrichtenauthentifizierungscodes (MACs), um sicherzustellen, dass die Nachrichten während der Übertragung nicht manipuliert werden. TLS verwendet keine MACs zum Schutz, sondern verlässt sich stattdessen auf andere Mittel, wie z. B. Verschlüsselung, um Manipulationen zu verhindern.

Protokoll aufzeichnen

Das Datensatzprotokoll ist die Art und Weise, wie Daten sowohl bei TLS als auch bei SSL über einen sicheren Kommunikationskanal übertragen werden, weist jedoch einige kleinere Unterschiede auf. Bei TLS kann nur ein Datensatz pro Paket aufgenommen werden, während bei SSL mehrere Datensätze pro Paket übertragen werden können (obwohl dies selten implementiert wurde).

Außerdem sind einige Funktionen des TLS-Protokolls nicht in SSL enthalten, z. B. Komprimierungs- und Auffülloptionen.

Chiffre-Suiten

TLS unterstützt verschiedene Cipher Suites, d. h. Algorithmen, die zur Ver- und Entschlüsselung verwendet werden. Die bekannteste Chiffriersuite ist der ephemere Diffie-Hellman (DHE)-Schlüsselaustausch auf der Grundlage elliptischer Kurven, der ein perfektes Vorwärtsgeheimnis (Perfect Forward Secrecy, PFS) bietet und mit jeder Schlüssellänge verwendet werden kann. Einige andere Cipher Suites unterstützen PFS, sind aber weniger weit verbreitet. SSL unterstützt nur eine Cipher Suite mit PFS, die einen 1024-Bit-RSA-Schlüssel verwendet.

Alert-Meldungen

Das SSL-Protokoll verwendet Warnmeldungen, um den Client oder Server über einen bestimmten Fehler während der Kommunikation zu informieren. Das TLS-Protokoll verfügt nicht über einen entsprechenden Mechanismus.

Kurz gesagt, SSL wird nicht mehr verwendet, und TLS ist der neue Begriff für das veraltete SSL-Protokoll als aktueller Verschlüsselungsstandard, der von allen verwendet wird. Obwohl TLS technisch genauer ist, ist SSL weit verbreitet.

Warum hat TLS SSL abgelöst?

Um Online-Anwendungen oder Daten bei der Übermittlung vor Abhören und Veränderung zu schützen, ist die TLS-Verschlüsselung heute ein Routineverfahren. TLS war in den Jahren 2012 und 2014 anfällig für Sicherheitslücken wie Crime und Heartbleed. Obwohl es erhebliche Fortschritte bei der Effizienz und Sicherheit gemacht hat, ist es unrealistisch zu glauben, dass es das sicherste Protokoll ist.

Christopher Allen und Tim Dierks von Consensus Development haben das Protokoll TLS 1.0 entwickelt, eine Verbesserung von SSL 3.0.

Auch wenn die Namensänderung einen wesentlichen Unterschied zwischen den beiden impliziert, gab es nicht viele.

Nach Angaben von Dierksänderte Microsoft seinen Namen, um sein Gesicht zu wahren. Er erklärte:

Um nicht den Eindruck zu erwecken, dass die IETF das Netscape-Protokoll unterstützt, mussten wir SSL 3.0 im Rahmen der Umbenennung umbenennen (aus demselben Grund). Und so wurde TLS 1.0 geschaffen (was SSL 3.1 war). Rückblickend erscheint die ganze Situation natürlich lächerlich.

SSL wird durch TLS ersetzt, und praktisch alle SSL-Versionen wurden aufgrund von dokumentierten Sicherheitsmängeln als veraltet eingestuft. Ein Beispiel dafür ist Google Chrome, das 2014 die Verwendung von SSL 3.0 eingestellt hat. Die meisten aktuellen Onlinebrowser unterstützen SSL überhaupt nicht.

Warum sollten Sie Ihre SSL-Zertifikate durch TLS-Zertifikate ersetzen?

Der Hauptgrund für das Ersetzen Ihrer bestehenden SSL-Zertifikate durch neue TLS-Zertifikate zu ersetzen, liegt darin, dass sie untereinander nicht kompatibel sind - sie verwenden unterschiedliche Protokolle und Algorithmen. Das bedeutet, dass ein Browser oder eine Client-Anwendung, die ein Protokoll verwendet, nicht in der Lage ist, eine sichere Verbindung mit einem Server herzustellen, der das andere Protokoll verwendet, ohne dass auf beiden Seiten der Verbindung explizite Konfigurationsänderungen vorgenommen werden.

Letzte Worte

Sowohl SSL- als auch TLS-Zertifikate bieten die gleiche Funktion der Verschlüsselung des Datenflusses, wenn man sie vergleicht. Eine verbesserte und sicherere Version von SSL war TLS. Die im Internet weit verbreiteten SSL-Zertifikate haben jedoch die gleiche Funktion zum Schutz Ihrer Website. Sie bieten beide die HTTPS-Adressleiste, die mittlerweile als Unterscheidungsmerkmal für Online-Sicherheit gilt.

SSL und TLS schützen Ihre Website vor unbefugter Nutzung, DMARC Ihre E-Mail-Domäne vor Nachahmung. DMARC ist ein E-Mail-Authentifizierungsstandard, der es Ihnen ermöglicht, Maßnahmen gegen E-Mails zu ergreifen, die von nicht autorisierten Quellen gesendet werden und sich als Ihr Domänenname ausgeben.

Beginnen Sie Ihren Weg zur DMARC-Durchsetzung mit PowerDMARC ermöglicht es Ihnen, Ihre Domain vollständig zu verwalten, Ihre E-Mail-Kanäle so schnell wie möglich transparent zu machen und sicher zu strengeren Richtlinien überzugehen!