Was ist TLS?

Das Sicherheitsprotokoll TLS hat seinen Namen vom OSI-Modell (Open Systems Interconnection). Das OSI-Modell ist ein konzeptioneller Rahmen für die Funktionsweise der Netzwerkkommunikation und unterteilt sie in sieben Schichten. TLS arbeitet in erster Linie auf der Transportschicht und ermöglicht eine sichere Kommunikation zwischen zwei Endpunkten. Darüber hinaus sichert es auch Protokolle der Anwendungsschicht wie HTTP (Hypertext Transfer Protocol) für das Surfen im Internet und SMTP (Simple Mail Transfer Protocol) für E-Mails.

Insgesamt hat das TLS-Protokoll drei Hauptfunktionen:

1. Verschlüsselung: Die TLS-Verschlüsselung verbirgt sensible Daten während der Übertragung und schützt sie so vor unbefugtem Zugriff. Es wird also eine sichere Verbindung hergestellt, über die zwei oder mehr Parteien sicher Informationen austauschen können.
2. Authentifizierung: Außerdem wird so sichergestellt, dass alle an der Transaktion beteiligten Parteien die sind, die sie vorgeben zu sein. Beim Surfen im Internet bestätigt TLS beispielsweise die Authentizität einer Website oder eines Webservers für einen Browser.
3. Integrität: TLS stellt sicher, dass die Daten nicht von Dritten gefälscht oder manipuliert wurden und dass alle Informationen ihr Ziel wie vorgesehen erreichen.

Was ist SSL?

SSL steht für Secure Socket Layer – der Vorgänger von Transport Layer Security. Wie bei TLS handelt es sich um ein Internet-Sicherheitsprotokoll, das Websites authentifiziert und eine sichere Kommunikation über eine verschlüsselte Verbindung ermöglicht.

Das ursprüngliche SSL-Protokoll wurde 1995 von einem Computerdienstleistungsunternehmen namens Netscape entwickelt. Aufgrund eklatanter Sicherheitsmängel wurde diese Version jedoch nie der Öffentlichkeit zugänglich gemacht. Nach zwei weiteren Iterationen schlug die Internet Engineering Task Force (IETF) 1999 das erste TLS-Protokoll vor.

Die IETF entwickelte TLS 1.0 ursprünglich als SSL 3.1. Obwohl das Unternehmen seinen Namen geändert hat, um Probleme mit Netscape zu vermeiden, verwenden viele in der Branche für TLS immer noch den früheren Namen. Möglicherweise sehen sie auch eine Kombinationen aus beidem, z. B. Verweise auf TLS/SSL-Verschlüsselung.

Was ist der Unterschied zwischen TLS und SSL?

Obwohl sie leicht zu verwechseln sind, sind die beiden Protokolle aus mehreren wichtigen Gründen sehr unterschiedlich:

• Chiffrensammlung: TLS bietet im Vergleich zu Secure Socket Layer eine breitere Palette von Chiffrensammlungen. Eine Chiffrensammlung ist, kurz gesagt, ein Satz von Algorithmen für den Aufbau einer sicheren Kommunikation. TLS bietet mehr Flexibilität und ermöglicht es den Nutzern, die Sammlung auszuwählen, die ihren Sicherheitsanforderungen und Präferenzen am besten entspricht.
• Sicherheit: Die TLS-Verschlüsselung ist viel stärker als die SSL-Verschlüsselung, und jede Version ist besser als die vorige. Mit TLS 1.3 wurden beispielsweise ältere kryptografische Algorithmen und unsichere Funktionen entfernt und Perfect Forward Secrecy eingeführt. Im Grunde ist Perfect Forward Secrecy ein Merkmal kryptografischer Systeme, bei denen jeder Sitzungsschlüssel einzigartig ist und unabhängig abgeleitet wird, wodurch sichergestellt wird, dass die Kompromittierung eines Schlüssels keine vergangene oder zukünftige Kommunikation gefährdet.
• Kompatibilität: TLS ist so konzipiert, dass es mit SSL abwärtskompatibel ist. Dadurch können Systeme, die ältere SSL-Versionen verwenden, mit Systemen kommunizieren, die neuere TLS-Protokolle verwenden.

Tatsächlich sind alle Versionen des SSL-Protokolls seit Jahren veraltet, d. h. sie bieten keinen ausreichenden Schutz mehr. Im Gegensatz dazu ist TLS nun das Standardverschlüsselungsprotokoll des Internets. Das National Institute of Standards and Technology (NIST) verlangt von allen regierungseigenen TLS-Servern und -Clients die Unterstützung von TLS 1.2 und empfiehlt Behörden, TLS 1.3 in naher Zukunft einzuführen.

Die TLS-Verschlüsselung dient in erster Linie dem Schutz von Webanwendungen und Websites vor Datenmissbrauch und anderen Angriffen. Ohne das TLS-Protokoll könnten unbekannte Dritte leicht sensible Daten wie Anmeldedaten, Kreditkarteninformationen und personenbezogene Informationen abfangen und lesen. Durch die Unterstützung von TLS durch Client- und Webanwendungen wird sichergestellt, dass die zwischen ihnen übertragenen Daten mit sicheren Algorithmen verschlüsselt werden und für unbefugte Nutzer unlesbar sind.

Vorteile von Transport Layer Security

TLS bietet für zahlreiche Anwendungsfälle wichtige Vorteile, wie z. B.:

• Erhöhte Sicherheit: Mit einer verschlüsselten TLS-Verbindung können Sie verhindern, dass Hacker Ihre sensiblen Daten mitlesen, manipulieren oder abfangen.
• Verbesserung der Authentifizierung: TLS bietet Mechanismen zur Verifizierung der Identitäten von Client und Server, die an einer Transaktion beteiligt sind. Dies hilft, Man-in-the-Middle-Angriffe zu verhindern, indem sichergestellt wird, dass der Client mit einem legitimen Server kommuniziert und umgekehrt.
• Aufbau des Kundenvertrauens: Die Verwendung einer TLS-Verbindung gibt den Nutzern die Gewissheit, dass ihre Browser-Sitzung vollständig geschützt und privat ist. Dies trägt dazu bei, dass sich Kunden wohl fühlen, wenn sie bei der Eröffnung eines neuen Kontos oder bei einem Online-Einkauf ihre personenbezogenen Daten oder Zahlungsinformationen weitergeben. 
• Förderung der Suchmaschinenoptimierung (SEO): Google berücksichtigt die Sicherheit von Websites in seinen Suchmaschinenalgorithmen. TLS-Protokolle schützen demnach nicht nur die Nutzer, sondern verbessern auch die Sichtbarkeit Ihres Unternehmens auf der Ergebnisseite.

TLS stellt eine sichere Verbindung zwischen einem Client-Gerät, z. B. einem Computer oder Mobiltelefon, und einem Webserver her. Bevor die Sitzung verschlüsselt wird, wird die Verbindung zunächst authentifiziert. Mit anderen Worten: Es wird sichergestellt, dass der Webserver legitim ist und kein Betrüger versucht, sensible Daten zu stehlen.

Dieser Prozess – bekannt als „TLS-Handshake-Protokoll“ – beginnt, wenn der Client eine erste Nachricht an den Zielserver sendet. Der Server antwortet mit Informationen, die seine Authentizität beweisen, und sobald beide Parteien verifiziert sind, führen sie einen Schlüsselaustausch durch. Kurz gesagt wird eine verschlüsselte TLS-Verbindung aufgebaut, die eine sichere Kommunikation zwischen den beiden ermöglicht.

All dies wäre ohne drei grundlegende Komponenten nicht möglich: Kryptographie, digitale Zertifikate und Public Key Infrastructure (PKI). Schauen wir uns die einzelnen Punkte nacheinander an.

Kryptografie: Symmetrische und asymmetrische Verschlüsselung

Vereinfacht ausgedrückt ist Kryptographie die Kunst, Kommunikation zu sichern und für Dritte unlesbar zu machen. Die Verschlüsselung ist ein wesentlicher Aspekt dieses Prozesses, bei dem ein kryptografischer Algorithmus verwendet wird, um Klartextdaten in Chiffretext umzuwandeln und so die Informationen zu verschleiern.

Die Kryptografie beruht auch auf digitalen Assets, den so genannten „Schlüsseln“, die wie ein geheimes Tool zum Ver- und Entschlüsseln von Kommunikation fungieren. Ein öffentlicher Schlüssel ist allen bekannt und wird zur Verschlüsselung der Daten verwendet, während ein privater Schlüssel nur einer Partei bekannt ist und für die Entschlüsselung zuständig ist.

Bei der Transport Layer Security werden zwei verschiedene Arten von schlüsselbasierten Verschlüsselungstechniken verwendet:

• Bei der symmetrischen Verschlüsselung, auch bekannt als symmetrische Kryptografie, wird derselbe Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung von Daten verwendet. 
• Die asymmetrische Verschlüsselung verwendet sowohl einen öffentlichen als auch einen privaten Schlüssel. Ohne beides können Sie die verschlüsselten Daten nicht entschlüsseln.

Obwohl die symmetrische Verschlüsselung oft effizienter ist, ist es riskant, sich auf nur einen Schlüssel zu verlassen. Der Vorteil der asymmetrischen Verschlüsselung besteht darin, dass die beiden Schlüssel mathematisch miteinander verknüpft werden, wodurch es für böswillige Akteure schwieriger wird, den Code zu knacken.

Digitale Zertifikate

Ein digitales Zertifikat ist eine elektronische Datei, die den Besitz eines öffentlichen Schlüssels bescheinigt. Es gibt viele verschiedene Typen für unterschiedliche Anwendungsfälle, wie u. a. Code Signing, Document Signing und E-Mail.

Webbrowser verwenden ein TLS-Zertifikat, um eine sichere Verbindung zwischen einem Client und einem Server zu identifizieren und herzustellen. Jeder ist eindeutig mit einer bestimmten Domain oder Entität verbunden, was als eine Art digitaler Ausweis dient Daher kann man sich ein TLS-Zertifikat als einen Authentifizierungsmechanismus vorstellen.

Wenn der Client eine Verbindung zum Server aufbaut, sendet der Server sein digitales Zertifikat, das Angaben zu Folgendem enthält:

• Domain-Name und -Inhaber
• Verwendete TLS-Version
• Datum der Ausstellung und des Ablaufs des Zertifikats
• Öffentlicher Schlüssel
• Issuing Certificate Authority (CA) und digitale Signatur

Nach der Verifizierung generieren beide Parteien einen gemeinsamen geheimen Schlüssel. Dieser Schlüssel wird dann verwendet, um einen Message Authentication Code (MAC) für jede während des Handshake ausgetauschte Nachricht zu berechnen. Durch den Vergleich der MACs bestätigen der Client und der Server, dass die Nachrichten während der Übertragung nicht verändert wurden, was den Authentifizierungsprozess weiter festigt.

TLS-Handshakes sind eine Reihe von Nachrichten, die zwischen einem Client und einem Server ausgetauscht werden. Die genauen Schritte des Prozesses variieren je nach dem verwendeten kryptografischen Algorithmus und den von jeder Partei unterstützten Chiffrensammlungen. Unabhängig von diesen Faktoren verwenden jedoch alle TLS-Handshakes eine asymmetrische Verschlüsselung – aber nicht alle verwenden eine symmetrische Kryptographie. Mit anderen Worten: Sie verwenden nicht immer den privaten Schlüssel, um einen Sitzungsschlüssel zu erzeugen.

Im Allgemeinen folgen die meisten Handshakes diesen grundlegenden Schritten:

1. Das Client-Gerät sendet eine „Client Hello“-Nachricht an den Webserver, die Informationen darüber enthält, welches TLS-Protokoll und welche Chiffrensammlung es unterstützt.
2. Der Server antwortet mit einer „Server Hello“-Nachricht. Dazu gehört auch das entsprechende TLS-Zertifikat, das den öffentlichen Schlüssel enthält.
3. Um seine Authentizität zu verifizieren, überprüft der Client das TLS-Zertifikat des Servers bei der Certificate Authority, die es ausgestellt hat. Damit wird bestätigt, dass der Server das ist, was er vorgibt zu sein, und dass er vom tatsächlichen Domain-Inhaber betrieben wird.
4. Nach der Verifizierung generiert der Client einen geheimen Pre-Master-Schlüssel, der auch als Sitzungsschlüssel bezeichnet wird.
5. Der Webserver entschlüsselt den Sitzungsschlüssel mit seinem eigenen privaten Schlüssel.
6. Wenn der Schlüsselaustausch abgeschlossen ist, haben beide Parteien eine sichere Verbindung.

Welche Auswirkungen hat TLS auf die Leistung von Webanwendungen?

Die neuesten TLS-Versionen haben so gut wie keine Auswirkungen auf Webanwendungen. Obwohl das TLS-Handshake-Protokoll zeitaufwändig und komplex erscheint, geschieht es tatsächlich innerhalb von Sekunden.

Um eine reibungslose Leistung zu gewährleisten, mildern einige Technologien die Latenz ab, z. B. TLS False Start. Dies ermöglicht es dem Server und dem Client, Daten zu übertragen, bevor der Handshake abgeschlossen ist. Andere Optionen, wie die TLS Session Resumption, ermöglichen es den Parteien, einen abgekürzten Handshake zu verwenden, wenn sie zuvor miteinander kommuniziert haben.

Zertifikatsverwaltung ist der Prozess, bei dem digitale Zertifikate erzeugt, gespeichert, geschützt, übertragen, verwendet und widerrufen werden. Es umfasst alle Richtlinien, Technologien und Verfahren, die für die Verwaltung des Lebenszyklus digitaler Zertifikate erforderlich sind.

Warum ist das wichtig? So wird gewährleistet, dass kryptografische Werte immer sicher sind. Schlechte Praktiken bei der Verwaltung von Zertifikaten, wie z. B. abgelaufene oder kompromittierte Zertifikate, können zu Datenschutzverletzungen, Man-in-the-Middle-Angriffen oder Dienstunterbrechungen führen.

Zum Glück können Sie mit Entrust den Aufwand umfassend vereinfachen. Zu unseren Lösungen gehört die Entrust Certificate Services Platform, eine vollumfängliche Verwaltungsplattform für alle Ihre digitalen Zertifikate. Sie erlaubt einen einfachen und intuitiven Überblick und ermöglicht es Ihnen so, den gesamten Lebenszyklus CA-übergreifend von einem einzigen Bildschirm aus zu verwalten.

Der Erwerb eines TLS-Zertifikats ist ein unkomplizierter Prozess. Sobald Sie wissen, welche Art von Zertifikat Sie benötigen, müssen Sie einfach eine Zertifikatsignieranforderung an eine autorisierte CA senden.