SSL/TLS

Was ist SSL/TLS?

SSL (Secure Sockets Layer) und sein Nachfolger TLS (Transport Layer Security) sind kryptographische Protokolle, die eine verschlüsselte Kommunikation zwischen zwei Systemen über das Internet ermöglichen. Obwohl SSL seit 2015 als veraltet gilt und durch TLS 1.2 und TLS 1.3 ersetzt wurde, wird der Begriff SSL umgangssprachlich weiterhin als Synonym verwendet. Das Protokoll arbeitet auf der Transportschicht des Netzwerkstacks und schuetzt drei Aspekte der Kommunikation: Vertraulichkeit durch Verschlüsselung der übertragenen Daten, Integritaet durch kryptographische Hash-Funktionen, die Manipulationen erkennen, und Authentizitaet durch digitale Zertifikate, die die Identitaet des Servers bestaetigen. Der TLS-Handshake, der jede verschlüsselte Verbindung initiiert, ist ein mehrstufiger Prozess. Client und Server einigen sich auf die zu verwendenden kryptographischen Algorithmen. Der Server praesentiert sein digitales Zertifikat, das von einer vertrauenswuerdigen Zertifizierungsstelle (Certificate Authority) signiert wurde. Client und Server generieren gemeinsam Sitzungsschluessel für die symmetrische Verschlüsselung der nachfolgenden Kommunikation. TLS 1.3 hat diesen Prozess auf einen einzigen Roundtrip optimiert und veraltete, unsichere Cipher Suites entfernt. HTTPS, die verschlüsselte Version des HTTP-Protokolls, ist heute Standard. Google markiert HTTP-Seiten als unsicher und beruecksichtigt HTTPS als Ranking-Signal. Browser warnen Nutzer vor unverschlüsselten Verbindungen. Service Worker, die für Progressive Web Apps benötigt werden, funktionieren ausschliesslich über HTTPS. Moderne Zertifikate sind kostenlos über Let's Encrypt verfügbar und können automatisiert erneuert werden. Es gibt keinen legitimen Grund mehr, eine Website ohne HTTPS zu betreiben.