Jeder Aufruf einer Website mit https, jede API-Anfrage zwischen Diensten, fast jede E-Mail-Zustellung: Im Hintergrund arbeitet Transport Layer Security. TLS verschlüsselt Verbindungen über unsichere Netze und gehört damit zu den am häufigsten eingesetzten Sicherheitstechnologien überhaupt. Trotzdem hält sich im Sprachgebrauch hartnäckig der Name des Vorgängers SSL, und in vielen Umgebungen laufen noch Protokollversionen, die längst als unsicher gelten.
Was ist TLS/SSL?
TLS (Transport Layer Security) ist ein Protokoll zur Verschlüsselung von Verbindungen auf der Transportebene. Es schützt die Vertraulichkeit und die Integrität übertragener Daten und belegt über Zertifikate die Identität der Gegenstelle. Der Vorläufer SSL (Secure Sockets Layer) wurde in den 1990er Jahren entwickelt. Seine Versionen gelten seit Langem als gebrochen und wurden offiziell außer Betrieb genommen, SSL 3.0 bereits 2015.
Der Begriff SSL lebt vor allem im Wort SSL-Zertifikat weiter. Technisch handelt es sich um X.509-Zertifikate, die mit TLS verwendet werden. Aktuell empfohlen sind TLS 1.2 und TLS 1.3; die Versionen 1.0 und 1.1 wurden 2021 offiziell für veraltet erklärt. TLS 1.3 hat den Protokollaufbau deutlich gestrafft, alte Kryptoverfahren entfernt und den Verbindungsaufbau beschleunigt.
Wie funktioniert TLS?
Bevor Nutzdaten fließen, handeln beide Seiten im Handshake die Parameter der Verbindung aus:
- Aushandlung: Client und Server einigen sich auf Protokollversion und Cipher Suite, also die konkreten Kryptoverfahren. In TLS 1.3 gelingt das in einer einzigen Runde, was den Verbindungsaufbau spürbar verkürzt.
- Zertifikatsprüfung: Der Server weist seine Identität mit einem X.509-Zertifikat nach, das eine Zertifizierungsstelle (CA) signiert hat. Der Client prüft die Signaturkette bis zu einer vertrauenswürdigen Wurzel, den Hostnamen und die Gültigkeitsdauer.
- Schlüsselaustausch: Über ein asymmetrisches Verfahren, heute üblicherweise ephemeres Diffie-Hellman, erzeugen beide Seiten gemeinsame Sitzungsschlüssel. Die Schlüssel sind kurzlebig, dadurch bleibt aufgezeichneter Verkehr selbst dann geschützt, wenn später ein privater Schlüssel kompromittiert wird (Forward Secrecy).
- Symmetrische Verschlüsselung: Die eigentlichen Daten sichern schnelle symmetrische Verfahren wie AES-GCM, die Verschlüsselung und Integritätsschutz kombinieren.
- Optional mTLS: Beim Mutual TLS weist zusätzlich der Client ein Zertifikat vor. Beide Seiten authentifizieren sich gegenseitig, was mTLS zum Standard für Dienst-zu-Dienst-Kommunikation und API-Absicherung macht. Eine ausführliche Einordnung bietet der Blogbeitrag zu Mutual TLS .
Warum TLS wichtig ist
- Schutz auf fremden Wegen: Zwischen Client und Server liegen Netze, die niemand kontrolliert, vom Hotel-WLAN bis zum Transitprovider. TLS macht Mitlesen und Manipulation auf diesen Strecken praktisch wirkungslos.
- Identitätsnachweis: Ohne Zertifikatsprüfung könnte sich jeder Server als Onlinebanking oder Firmenportal ausgeben. TLS bindet die Verbindung an eine geprüfte Identität.
- Compliance-Anforderung: DSGVO, PCI DSS und branchenspezifische Vorgaben verlangen Verschlüsselung bei der Übertragung sensibler Daten. Veraltete Protokollversionen fallen in Audits regelmäßig als Befund auf.
- Sichtbarkeit im Browser: Browser markieren unverschlüsselte Seiten als unsicher. Für öffentlich erreichbare Dienste ist HTTPS damit auch eine Frage der Außenwirkung.
- Betriebsrisiko Zertifikate: Abgelaufene Zertifikate zählen zu den häufigsten Ursachen vermeidbarer Ausfälle. Automatisierte Verlängerung und ein Inventar aller Zertifikate gehören deshalb zum Grundbetrieb.
Typische Szenarien
Ein Unternehmen stellt seine Kundenportale auf TLS 1.3 um und deaktiviert die Versionen 1.0 und 1.1. Alte Clients werden vorab identifiziert, damit die Umstellung ohne Überraschungen gelingt. Nebeneffekt: Der Verbindungsaufbau wird schneller, messbar bei mobilen Zugriffen.
Zwei Partnerunternehmen koppeln ihre Systeme über eine API. Statt IP-Freischaltungen und geteilter Passwörter setzen sie auf mTLS: Nur Clients mit gültigem Zertifikat erreichen die Schnittstelle, jede Verbindung ist beidseitig authentifiziert und durchgehend verschlüsselt.
Im internen Rechenzentrum erzwingt eine Plattform für Workload-Kommunikation TLS zwischen allen Diensten. Selbst wenn ein Angreifer ins Netz gelangt, bleibt der Datenverkehr zwischen den Anwendungen für ihn unlesbar.
TLS vs. VPN
Beide Technologien verschlüsseln, aber auf verschiedenen Ebenen. TLS sichert einzelne Verbindungen zwischen zwei Endpunkten, typischerweise pro Anwendung: Browser zu Webserver, Client zu API. Ein VPN baut einen Tunnel auf Netzwerkebene und transportiert darin beliebigen Verkehr, etwa zwischen Standorten oder vom Endgerät ins Firmennetz.
Die Grenze verschwimmt, weil viele VPNs selbst TLS als Transport nutzen. Der praktische Unterschied liegt im Zuschnitt: Ein klassisches VPN gewährt nach dem Aufbau oft breiten Netzzugang, während TLS-basierte Zero-Trust-Zugänge jede Anwendung einzeln freigeben. Moderne Architekturen ersetzen pauschale Tunnel deshalb zunehmend durch anwendungsbezogene, per TLS gesicherte Zugriffe mit Identitätsprüfung.
So unterstützt KAEMI
KAEMI setzt Transportverschlüsselung als durchgehendes Architekturprinzip um. Im Rahmen von Application Security betreibt KAEMI die TLS-Terminierung exponierter Anwendungen auf der Cloudflare-Plattform, inklusive moderner Protokollkonfiguration und automatisierter Zertifikatsverwaltung. Für Standort- und Cloud-Anbindungen sorgt Cloud Connectivity dafür, dass Datenverkehr zu Ihren Cloud-Umgebungen durchgehend verschlüsselt und sauber authentifiziert läuft. Wenn Sie veraltete Protokollversionen ablösen oder mTLS für Ihre Schnittstellen einführen wollen, erreichen Sie das Team über die Kontaktseite .