TLS/SSL & Zertifikate

Was ist TLS?

TLS (Transport Layer Security) ist der Nachfolger des veralteten SSL und sichert die Kommunikation im Internet. Es liegt zwischen der Anwendung (z. B. HTTP) und TCP und sorgt für drei Dinge: Vertraulichkeit (Verschlüsselung), Integrität (Manipulationsschutz) und Authentizität (du sprichst wirklich mit dem echten Server). Aus http:// wird so https://.

Symmetrisch und asymmetrisch kombiniert

TLS verbindet zwei Verfahren clever: Die asymmetrische Verschlüsselung (öffentlicher/privater Schlüssel) wird nur kurz genutzt, um sicher einen gemeinsamen Sitzungsschlüssel auszuhandeln. Die eigentlichen Daten verschlüsselt dann das schnellere symmetrische Verfahren (z. B. AES). So bekommt man Sicherheit und Geschwindigkeit zugleich.

Der TLS-Handshake (vereinfacht)

$ openssl s_client -connect oen.de:443
subject=CN=oen.de
issuer=CN=R3, O=Let's Encrypt
Verify return code: 0 (ok)

Zertifikate und Zertifikatskette

Ein Zertifikat bindet einen öffentlichen Schlüssel an einen Domainnamen und wird von einer Certificate Authority (CA) digital signiert. Dein Browser vertraut einer Liste von Root-CAs. Das Serverzertifikat wird meist von einer Zwischen-CA signiert, die wiederum von einer Root-CA stammt – diese Kette (chain of trust) muss bis zu einer vertrauten Wurzel lückenlos sein:

Root-CA  ->  Zwischen-CA  ->  Server-Zertifikat (oen.de)

Ist das Zertifikat abgelaufen, selbstsigniert oder die Kette unvollständig, warnt der Browser.

Sicherheitsbezug

Veraltete Versionen wie SSLv3 oder TLS 1.0/1.1 gelten als unsicher – nutze mindestens TLS 1.2, besser TLS 1.3. Achte auf gültige, nicht abgelaufene Zertifikate und starke Cipher-Suites. Konfiguration, Ablaufdatum und Kette deiner Domain prüfst du mit dem SSL-Check. Ergänzend sollten Webseiten per HSTS (siehe HTTP-Header-Scan) HTTPS erzwingen.