Sicherheitsschloss

Was ist SSL/TLS?

SSL steht für Secure Sockets Layer und beschreibt ein Protokoll, welches Internetverbindungen authentifiziert und verschlüsselt. Inzwischen wurde SSL von Transport Layer Security (TLS) abgelöst, allerdings wird im Sprachgebrauch nach wie vor häufig SSL als Synonym für verschlüsselte Internetverbindungen verwendet.

Erklärungsgrafik SSL

01

SSL/TLS: eine Definition

In den 1990er Jahren entwickelte Netscape Secure Sockets Layer für den Browser Netscape Navigator. Bis Ende der 1990er Jahre war die SSL-Verschlüsselung der Standard für sichere Internetverbindungen. SSL 3 war die letzte Version mit diesem Namen, welche in TLS aufging. Das Protokoll Transport Layer Security (TLS) löste SSL im Jahr 1999 als Standard ab.

Der klassische Anwendungsfall von SSL bzw. TLS ist die verschlüsselte Datenübertragung über HTTP. Die HTTPS-Zertifizierung ist für Webseiten zwar optional, allerdings gibt es kaum noch Unternehmen und Organisationen, die auf eine Sicherung sensibler Daten verzichten. Außerdem ist HTTPS inzwischen sogar einer von Googles Ranking-Faktoren und damit ein wichtiger Punkt bei der Suchmaschinenoptimierung. Darüber hinaus ist auch der verschlüsselte Versand von E-Mails via SSL möglich. Weitere Verfahren wie EAP-TLS, EAP-TTL, PEAP und das LDAP-Protokoll setzen ebenfalls auf SSL.

02

Wie funktioniert SSL/TLS?

Für die Funktionsweise von SSL bzw. TLS ist das entsprechende Zertifikat entscheidend. Dabei handelt es sich um ein Übereinkommen zwischen dem Client, welcher auf einen Server zugreift, und diesem Server. Der Server authentifiziert sich mit Hilfe eines Zertifikats gegenüber dem Client. Dieser schickt im Anschluss dem Server eine zufällige Zahl, welche mit dem Zertifikat des Servers verschlüsselt wurde. Alternativ wenden Client und Server das Diffie-Hellman-Schlüsselaustausch-Verfahren an. In weiterer Folge errechnen Client und Server einen Schlüssel, mit Hilfe dessen die weitere Kommunikation codiert wird.

SSL-Zertifikate werden von offiziellen Zertifizierungsstellen ausgegeben. Es gibt drei Arten von Zertifikaten, welche unterschiedlich hohe Anforderungen erfüllen:

Domain-Validated-Zertifikat (DV-SSL):

Bei diesem Zertifikat prüft die Zertifizierungsstelle das Recht des Antragstellers, einen bestimmten Domainnamen zu verwenden. DV-SSL-Zertifikate können sehr schnell ausgestellt werden, da die Zertifizierungsstelle keine weiteren Unternehmensdokumente benötigt.

Organisation-Validation-Zertifikat (OV-SSL):

Neben dem Recht des Antragstellers, eine spezifische Domain zu verwenden, überprüft die Zertifizierungsstelle hier darüber hinaus einige weitere Unternehmensinformationen. Bei einer Website mit OV-SSL-Zertifikat werden dem User dementsprechend mehr Informationen zum Betreiber der Website angezeigt, was höheres Vertrauen erweckt.

Extended-Validation-Zertifikat (EV-SSL):

In diesem Fall erfolgt eine gründliche Überprüfung der Organisation, welche den Antrag stellt. Die 2007 durch das CA/Browser Forum ratifizierten EV-Richtlinien legen fest, wie der Ausstellungsprozess abläuft. Unter anderem müssen Unternehmen, die diese Zertifizierung anstreben, verifizieren, dass die Organisation gesetzlich, materiell und betrieblich existiert und das exklusive Recht besitzt, die entsprechende Domain zu verwenden.

Sicherheitsschloss

03

Warum sollten Unternehmen SSL/TLS nutzen?

SSL bzw. TLS stellt einen wichtigen Baustein dar, um bei Online-Abläufen den Grundsätzen der Informationssicherheit gerecht zu werden:

  • Verschlüsselte Datenübertragung: Ob zwischen zwei Servern, von Browser zu Server oder auch von Anwendung zu Server – SSL schützt Daten bei der Übertragung.

  • Authentifizierung des Servers: Mit Hilfe von SSL authentifiziert sich der angefragte Server.

  • Datenintegrität: Wird die Datenübertragung per SSL/TLS geschützt, können Webmaster und Nutzer sichergehen, dass keine Manipulation der Inhalte stattgefunden hat.

Aufgrund der zahlreichen Vorteile findet die SSL-Verschlüsselung in vielen Bereichen Anwendung, unter anderem zur Sicherung von Online-Kreditkartentransaktionen, zur sicheren Datenübertragung bei Onlinebanking und Onlineshops, bei Webmail sowie bei Formularen auf Websites.

Wie hat sich SSL/TLS entwickelt?

SSL 1.0

1994

Netscape Communications reagierte mit der Einführung von SSL auf das Bedürfnis nach einer sicheren Datenübertragung zwischen dem Netscape-Browser und dem Server, mit welchem er sich verbindet.

SSL 2.0

1994

Im November des gleichen Jahres stellte Netscape den Nachfolger SSL 2.0 vor, welcher sich durch verbesserte Sicherheit auszeichnete.

PCT

1995

Microsoft reagierte auf Kritik an SSL mit einem eigenen Verschlüsselungsprotokoll namens Private Communication Technology (PCT).

SSL 3.0

1998

SSL 3.0 war wesentlich stabiler als seine Vorgänger und auch nicht mehr mit SSL 2.0 kompatibel.

TLS

1999

TLS ist eine Weiterentwicklung von SSL und inzwischen zum Verschlüsselungsstandard geworden.

TLS 1.1

2005

Sechs Jahre später folgte das erste große Update von TLS.

TLS 1.2

2008

TLS 1.2 wurde den gestiegenen Erwartungen in puncto Sicherheitsstandards und modernen Browsern gerecht.

TLS 1.3

2018

TLS 1.3 ist sicherer und performanter als seine Vorgänger und stellt den aktuellen offiziellen Standard für die Transportverschlüsselung dar.

05

Wie sicher ist SSL/TLS?

SSL bzw. TLS verfügt über einige Schwachstellen, mit Hilfe derer Angreifer eine wirkungsvolle Authentifizierung und Verschlüsselung verhindern können. Unter anderem sind die folgenden Stellen anfällig für Attacken:

Zertifizierungsstelle

Aktuell haben über 700 Zertifizierungsstellen rund um den Globus das Recht, SSL-Zertifikate auszustellen. Hinzu kommen zahlreiche Reseller und Hosting-Provider mit entsprechenden Angeboten, bei denen Unternehmen keinen Einfluss auf die Wahl der Zertifizierungsstelle haben. Zwar führen die Software-Hersteller entsprechende Audits durch, bevor sie eine Zertifizierungsstelle akzeptieren, dennoch besteht die Gefahr, dass Hacker eine solche Stelle angreifen und selbst beliebige Zertifikate erstellen.

Man-in-the-Middle-Aktionen durch beliebige Zertifikate

Geheimdienste und Ermittlungsbehörden können Schwachstellen bei Zertifizierungsstellen ausnutzen, um sich mit Hilfe eines gültigen Zertifikats für einen anderen Host als jemand anderer auszugeben.

Gefälschte Zertifikatsketten

Mit Hilfe spezieller Intermediate-CA-Zertifikate haben Angreifer die Möglichkeit, sich in verschlüsselte Verbindungen einzuklinken und ihren Inhalt zu analysieren.

Schlüsselerzeugung

Einige Zertifizierungsstellen übernehmen auch die Erzeugung der Schlüssel. Dies stellt ein Sicherheitsrisiko dar, denn der private Schlüssel muss auf dem eigenen Rechner erzeugt werden.

Kompromittierung von Zertifikaten

Wird der private Schlüssel entwendet, ohne dass es dem Besitzer des Zertifikats auffällt, können Angreifer diesen nutzen, um verschlüsselte Daten zu dechiffrieren.

Zu den bekannten Attacken auf SSL gehört der Poodle-Angriff. Es handelt sich um eine Art der Man-in-the-Middle-Attacke, bei der Angreifer die Schwäche von SSLv3 ausnutzen. Die Hacker sorgen dafür, dass Script-Code auf dem Rechner des Opfers ausgeführt wird. Im Anschluss können die Angreifer sensible Informationen wie Onlinebanking-Login-Daten abgreifen.

Ein weiterer bekannter Angriff ist der Heartbleed-Exploit. Er nutzt eine Sicherheitslücke des sogenannten TLS-Heartbeat, bei dem Client und Server ein Payload-Paket hin und zurück schicken, um sicherzustellen, dass die Verbindung weiterhin in Ordnung ist. Durch Manipulation der Längenangabe im Payload-Paket auf Seiten des versendenden Kommunikationspartners können Angreifer Daten der Gegenstelle auslesen.

 

Person arbeitet an einem Laptop

06

Welche Nachteile hat SSL/TLS?

Obwohl SSL bzw. TLS zahlreiche Vorteile bietet und in puncto Verschlüsselung den Standard darstellt, gibt es auch einige Nachteile beim sicheren Protokoll. Der Verbindungsaufbau auf Serverseite ist mit TLS-Verschlüsselung rechenintensiv und somit langsamer.

Auf niedrigeren Schichten, zum Beispiel auf PPTP-Ebene, können verschlüsselte Daten kaum durch Kompression verdichtet werden.

Eine Einschränkung von TLS ist zudem die Tatsache, dass das Protokoll ausschließlich für die Verschlüsselung der Kommunikation zwischen zwei Stationen geeignet ist. Im Falle von Nachrichten, welche über mehrere Stationen gesendet werden, von denen jede nur einen Teil der Information lesen darf, ist TLS nicht die geeignete Methode zur Verschlüsselung.

https Schriftzug

07

SSL/TLS: Das müssen Sie wissen

TLS ist heute der Standard in puncto Verschlüsselung von Datenübertragung im Internet. Für Unternehmen stellt die TLS-Verschlüsselung einen wichtigen Baustein für die Informationssicherheit dar. Allerdings birgt das Protokoll auch einige Sicherheitsrisiken, welche Unternehmen umgehen können, indem sie auf ein ausgezeichnetes IT-Sicherheits-Konzept setzen.

Die Myra DDoS Protection etwa unterstützt auch verschlüsselten HTTPS-Traffic.

Mehr zur Myra DDoS Web Protection erfahren