TLS/SSL

Jeder Aufruf einer Website mit https, jede API-Anfrage zwischen Diensten, fast jede E-Mail-Zustellung: Im Hintergrund arbeitet Transport Layer Security. TLS verschlüsselt Verbindungen über unsichere Netze und gehört damit zu den am häufigsten eingesetzten Sicherheitstechnologien überhaupt. Trotzdem hält sich im Sprachgebrauch hartnäckig der Name des Vorgängers SSL, und in vielen Umgebungen laufen noch Protokollversionen, die längst als unsicher gelten.

Was ist TLS/SSL?

TLS (Transport Layer Security) ist ein Protokoll zur Verschlüsselung von Verbindungen auf der Transportebene. Es schützt die Vertraulichkeit und die Integrität übertragener Daten und belegt über Zertifikate die Identität der Gegenstelle. Der Vorläufer SSL (Secure Sockets Layer) wurde in den 1990er Jahren entwickelt. Seine Versionen gelten seit Langem als gebrochen und wurden offiziell außer Betrieb genommen, SSL 3.0 bereits 2015.

Der Begriff SSL lebt vor allem im Wort SSL-Zertifikat weiter. Technisch handelt es sich um X.509-Zertifikate, die mit TLS verwendet werden. Aktuell empfohlen sind TLS 1.2 und TLS 1.3; die Versionen 1.0 und 1.1 wurden 2021 offiziell für veraltet erklärt. TLS 1.3 hat den Protokollaufbau deutlich gestrafft, alte Kryptoverfahren entfernt und den Verbindungsaufbau beschleunigt.

Wie funktioniert TLS?

Bevor Nutzdaten fließen, handeln beide Seiten im Handshake die Parameter der Verbindung aus:

  • Aushandlung: Client und Server einigen sich auf Protokollversion und Cipher Suite, also die konkreten Kryptoverfahren. In TLS 1.3 gelingt das in einer einzigen Runde, was den Verbindungsaufbau spürbar verkürzt.
  • Zertifikatsprüfung: Der Server weist seine Identität mit einem X.509-Zertifikat nach, das eine Zertifizierungsstelle (CA) signiert hat. Der Client prüft die Signaturkette bis zu einer vertrauenswürdigen Wurzel, den Hostnamen und die Gültigkeitsdauer.
  • Schlüsselaustausch: Über ein asymmetrisches Verfahren, heute üblicherweise ephemeres Diffie-Hellman, erzeugen beide Seiten gemeinsame Sitzungsschlüssel. Die Schlüssel sind kurzlebig, dadurch bleibt aufgezeichneter Verkehr selbst dann geschützt, wenn später ein privater Schlüssel kompromittiert wird (Forward Secrecy).
  • Symmetrische Verschlüsselung: Die eigentlichen Daten sichern schnelle symmetrische Verfahren wie AES-GCM, die Verschlüsselung und Integritätsschutz kombinieren.
  • Optional mTLS: Beim Mutual TLS weist zusätzlich der Client ein Zertifikat vor. Beide Seiten authentifizieren sich gegenseitig, was mTLS zum Standard für Dienst-zu-Dienst-Kommunikation und API-Absicherung macht. Eine ausführliche Einordnung bietet der Blogbeitrag zu Mutual TLS .

Warum TLS wichtig ist

  • Schutz auf fremden Wegen: Zwischen Client und Server liegen Netze, die niemand kontrolliert, vom Hotel-WLAN bis zum Transitprovider. TLS macht Mitlesen und Manipulation auf diesen Strecken praktisch wirkungslos.
  • Identitätsnachweis: Ohne Zertifikatsprüfung könnte sich jeder Server als Onlinebanking oder Firmenportal ausgeben. TLS bindet die Verbindung an eine geprüfte Identität.
  • Compliance-Anforderung: DSGVO, PCI DSS und branchenspezifische Vorgaben verlangen Verschlüsselung bei der Übertragung sensibler Daten. Veraltete Protokollversionen fallen in Audits regelmäßig als Befund auf.
  • Sichtbarkeit im Browser: Browser markieren unverschlüsselte Seiten als unsicher. Für öffentlich erreichbare Dienste ist HTTPS damit auch eine Frage der Außenwirkung.
  • Betriebsrisiko Zertifikate: Abgelaufene Zertifikate zählen zu den häufigsten Ursachen vermeidbarer Ausfälle. Automatisierte Verlängerung und ein Inventar aller Zertifikate gehören deshalb zum Grundbetrieb.

Typische Szenarien

Ein Unternehmen stellt seine Kundenportale auf TLS 1.3 um und deaktiviert die Versionen 1.0 und 1.1. Alte Clients werden vorab identifiziert, damit die Umstellung ohne Überraschungen gelingt. Nebeneffekt: Der Verbindungsaufbau wird schneller, messbar bei mobilen Zugriffen.

Zwei Partnerunternehmen koppeln ihre Systeme über eine API. Statt IP-Freischaltungen und geteilter Passwörter setzen sie auf mTLS: Nur Clients mit gültigem Zertifikat erreichen die Schnittstelle, jede Verbindung ist beidseitig authentifiziert und durchgehend verschlüsselt.

Im internen Rechenzentrum erzwingt eine Plattform für Workload-Kommunikation TLS zwischen allen Diensten. Selbst wenn ein Angreifer ins Netz gelangt, bleibt der Datenverkehr zwischen den Anwendungen für ihn unlesbar.

TLS vs. VPN

Beide Technologien verschlüsseln, aber auf verschiedenen Ebenen. TLS sichert einzelne Verbindungen zwischen zwei Endpunkten, typischerweise pro Anwendung: Browser zu Webserver, Client zu API. Ein VPN baut einen Tunnel auf Netzwerkebene und transportiert darin beliebigen Verkehr, etwa zwischen Standorten oder vom Endgerät ins Firmennetz.

Die Grenze verschwimmt, weil viele VPNs selbst TLS als Transport nutzen. Der praktische Unterschied liegt im Zuschnitt: Ein klassisches VPN gewährt nach dem Aufbau oft breiten Netzzugang, während TLS-basierte Zero-Trust-Zugänge jede Anwendung einzeln freigeben. Moderne Architekturen ersetzen pauschale Tunnel deshalb zunehmend durch anwendungsbezogene, per TLS gesicherte Zugriffe mit Identitätsprüfung.

So unterstützt KAEMI

KAEMI setzt Transportverschlüsselung als durchgehendes Architekturprinzip um. Im Rahmen von Application Security betreibt KAEMI die TLS-Terminierung exponierter Anwendungen auf der Cloudflare-Plattform, inklusive moderner Protokollkonfiguration und automatisierter Zertifikatsverwaltung. Für Standort- und Cloud-Anbindungen sorgt Cloud Connectivity dafür, dass Datenverkehr zu Ihren Cloud-Umgebungen durchgehend verschlüsselt und sauber authentifiziert läuft. Wenn Sie veraltete Protokollversionen ablösen oder mTLS für Ihre Schnittstellen einführen wollen, erreichen Sie das Team über die Kontaktseite .

Häufige Fragen zu TLS/SSL

Was ist der Unterschied zwischen SSL und TLS?

TLS ist der Nachfolger von SSL. Die SSL-Versionen stammen aus den 1990er Jahren, gelten als gebrochen und wurden offiziell außer Betrieb genommen. Seit 1999 wird das Protokoll unter dem Namen TLS weiterentwickelt. Der Begriff SSL hat sich vor allem im Wort SSL-Zertifikat gehalten, gemeint sind heute X.509-Zertifikate im Einsatz mit TLS.

Welche TLS-Version sollte im Einsatz sein?

Empfohlen sind TLS 1.2 mit sicheren Cipher Suites und bevorzugt TLS 1.3. Die Versionen 1.0 und 1.1 wurden 2021 für veraltet erklärt und sollten deaktiviert sein, ebenso alle SSL-Versionen. Vor der Abschaltung lohnt ein Blick in die Zugriffslogs, um Altsysteme zu finden, die noch alte Versionen verwenden.

Was ist ein SSL-Zertifikat technisch gesehen?

Ein X.509-Zertifikat bindet einen öffentlichen Schlüssel an einen Namen, meist einen Hostnamen. Eine Zertifizierungsstelle bestätigt diese Bindung mit ihrer Signatur. Beim Verbindungsaufbau prüft der Client die Signaturkette, den Namen und die Gültigkeit. Da Zertifikate befristet sind, gehören automatisierte Verlängerung und ein zentrales Inventar zu einem stabilen Betrieb.

Wann lohnt sich mTLS?

Immer dann, wenn beide Seiten einer Verbindung zweifelsfrei feststehen müssen: bei APIs zwischen Unternehmen, bei Dienst-zu-Dienst-Kommunikation in Microservice-Umgebungen und bei Zero-Trust-Zugriffen von Maschinen. mTLS ersetzt geteilte Passwörter und IP-Freischaltungen durch kryptografische Identitäten. Voraussetzung ist eine geordnete Verwaltung der Client-Zertifikate, etwa über eine interne Zertifizierungsstelle mit Automatisierung.

Ersetzt TLS ein VPN?

Teilweise. TLS sichert einzelne Anwendungsverbindungen, ein VPN transportiert beliebigen Verkehr durch einen Tunnel auf Netzwerkebene. Für den Fernzugriff verschieben sich die Ansätze: Zero-Trust-Modelle geben Anwendungen einzeln über TLS-gesicherte, identitätsgeprüfte Verbindungen frei und ersetzen damit breite VPN-Tunnel. Für Standortkopplungen und Spezialprotokolle behalten Netztunnel weiterhin ihre Berechtigung.

Wie sieht das im eigenen Netzwerk aus? Sprechen Sie mit KAEMI: Wir planen, bauen und betreiben die passende Lösung mit Ihnen.