Transport Layer Security (TLS) ist die neueste Version des Secure Socket Layer (SSL)-Protokolls. Beide Protokolle gewährleisten Datenschutz und Authentizität über das Internet. Diese weit verbreiteten Protokolle bieten End-to-End-Sicherheit, indem sie Verschlüsselung für die webbasierte Kommunikation anwenden. Trotz der Ähnlichkeiten von TLS und SSL weisen sie jedoch auch erhebliche Unterschiede auf.

Dieser Artikel erklärt, wie die Verschlüsselungsprotokolle TLS und SSL funktionieren, welche Bedeutung sie haben, wie sie sich unterscheiden und warum es der richtige Zeitpunkt ist, auf das TLS-Protokoll umzusteigen.

Der historische Hintergrund von TLS und SSL

Die Internet Engineering Task Force (IETF), die für die Entwicklung von Internetstandards zuständige Organisation, hat veröffentlicht Bitte um Kommentare (RFC-1984), in Anerkennung der Bedeutung des Schutzes personenbezogener Daten im wachsenden Internet. Die Netscape Communication Corporation führte SSL zur sicheren Webkommunikation ein, die mehrfach aktualisiert wurde.

instagram viewer

Die SSL 1.0-Version wurde aufgrund von Sicherheitslücken nie veröffentlicht, und SSL 2.0 war die erste öffentliche Veröffentlichung von Netscape im Jahr 1995. Aufgrund von Sicherheitslücken und Nachteilen wurde es jedoch im November 1996 durch eine andere SSL-Version 3.0 ersetzt. Die neueste SSL-Version wird aufgrund ihrer Unsicherheit gegenüber dem ebenfalls nicht verwendet POODLE-Angriff im Oktober 2014 und wurde im Juni 2015 offiziell eingestellt.

TLS wurde 1999 als anwendungsunabhängiges Protokoll veröffentlicht: ein Upgrade auf SSL Version 3.0, das von der Internet Engineering Task Force (IETF) erstellt wurde. Die Idee war, TLS über TCP zu implementieren, um Anwendungen mit FTP-, IMAP-, SMTP- und HTTP-Protokollen zu verschlüsseln. Zum Beispiel, HTTPS ist eine sichere Version von HTTP da es TLS implementiert, um eine sichere Datenübermittlung zu gewährleisten, indem Inhaltsänderungen und Abhören vermieden werden.

Grundlegende Funktionsweise von TLS/SSL-Protokollen

Die Kommunikation zwischen Parteien (z. B. Ihrem Computerbrowser und einer Website) wird initiiert, indem identifiziert wird, ob dies der Fall ist wird das TLS/SSL-Protokoll integrieren oder nicht, sodass der Client entweder die Verwendung der TLS-Verschlüsselung angeben kann durch:

  • Angeben eines Ports, der die SSL-Kommunikationsverschlüsselung unterstützt, oder
  • Durch TLS-protokollspezifische Anfragen

Inzwischen, eine Website erfordert ein TLS/SSL-Zertifikat auf seinem Hosting-Server installiert, um das Protokoll zu verwenden. Ein vertrauenswürdiger Dritter stellt das Zertifikat aus, das den öffentlichen Schlüssel an die Domäne bindet besitzt den privaten Schlüssel und ermöglicht ihm, die Kommunikation zu verschlüsseln/entschlüsseln.

Nachdem man sich auf die Verwendung von TLS/SSL für die Client-Server-Kommunikation geeinigt hat, fährt es mit dem Handshake fort. Der Handshake legt die für den Austausch von Nachrichten erforderlichen Spezifikationen fest. Der folgende Abschnitt fasst die Reihe des Informationsaustauschs zur Aktivierung der TLS/SSL-Verbindung zusammen:

  1. Die Parteien einigen sich dann auf die Version des Protokolls, die sie verwenden werden
  2. Entscheidet dann über die kryptografischen Algorithmen oder die zu verwendende Cipher Suite
  3. Authentifiziert die kommunizierenden Parteien dann mit ihrem öffentlichen Schlüssel und digitalen Signaturen der ausstellenden Zertifizierungsstelle
  4. Tauscht Sitzungsschlüssel zur Verwendung während der Kommunikation aus. Sowohl TLS- als auch SSL-Protokolle verwenden asymmetrische Kryptografie, um gemeinsam genutzte (öffentliche) und private Schlüssel zu generieren.

Wenn der Browser das TLS/SSL-Zertifikat nicht validieren kann, gibt er den Fehler „Verbindung ist nicht privat“ zurück.

Nach Festlegung des Entschlüsselungsverfahrens während des Handshakes wird das Protokoll aufgezeichnet verwendet symmetrische Verschlüsselung für die Kommunikation während der gesamten Sitzung. Außerdem hängt das Aufzeichnungsprotokoll die Nachricht auch mit dem HMAC für TLS und dem MAC für SSL an, um die Datenintegrität sicherzustellen.

Daher erfüllen die Protokolle drei grundlegende Sicherheitsziele:

  • Vertraulichkeit: Verschlüsselt Daten, um sie vor Dritten zu verbergen, sodass nur ein beabsichtigter Empfänger den Inhalt anzeigen kann.
  • Integrität: Wendet den Nachrichtenauthentifizierungscode an, um den verschlüsselten Nachrichteninhalt zu überprüfen.
  • Authentifizierung: Authentifiziert die Identität der Website/des Clients/des Servers mit Hilfe eines Zertifikats, um sicherzustellen, dass Parteien, die Informationen austauschen, sich nicht von ihrer Identität distanzieren können.

Was ist der Unterschied zwischen TLS und SSL?

Wie bereits erwähnt, besteht der Hauptunterschied zwischen beiden Protokollen darin, wie sie Verbindungen herstellen. TLS-Handshake verwendet eine implizite Methode zum Herstellen einer Verbindung über ein Protokoll, während SSL explizite Verbindungen mit einem Port herstellt.

Unabhängig von allen anderen Unterschieden ist das grundlegende Merkmal, das beide TLS/SSL-Verbindungen unterscheidet, die Verwendung einer Cipher Suite, die über die Gesamtsicherheit der Verbindung entscheidet.

Der wesentliche Teil einer TLS/SSL-Verbindung besteht darin, sich auf eine Cipher Suite zu einigen, die eine Reihe von Algorithmen für den Schlüsselaustausch definiert. Authentifizierung, Massenverschlüsselung und ein Hash-basierter Nachrichtenauthentifizierungscode (HMAC) oder Nachrichtenauthentifizierungscodealgorithmen, usw. für eine bestimmte Sitzung. Jede TLS/SSL-Version unterstützt einen anderen Satz von Cipher Suites für die Kommunikationssitzung. Daher unterstützt jede Cipher Suite ihren eigenen Satz von Algorithmen, der die Sicherheit und die allgemeine Verbindungsleistung verbessert.

SSL TLS
SSL ist ein komplexes Protokoll, das implementiert werden muss. TLS ist ein einfacheres Protokoll.
SSL hat drei Versionen, von denen SSL 3.0 die neueste ist. TLS hat vier Versionen, von denen die Version TLS 1.3 die neueste ist
Alle Versionen des SSL-Protokolls sind anfällig für Angriffe. Das TLS-Protokoll bietet hohe Sicherheit.
SSL verwendet einen Message Authentication Code (MAC) nach der Nachrichtenverschlüsselung für die Datenintegrität TLS verwendet in seinem Datensatzprotokoll einen Hash-basierten Nachrichtenauthentifizierungscode.
SSL verwendet Message Digest, um ein Master Secret zu erstellen. TLS verwendet eine Pseudozufallsfunktion, um ein Hauptgeheimnis zu erstellen.

Warum hat TLS SSL ersetzt?

Die TLS-Verschlüsselung ist heute eine Standardpraxis, um Webanwendungen oder Daten während der Übertragung vor Abhören und Manipulation zu schützen. Es ist unrealistisch, TLS als das sicherste Protokoll anzunehmen, da es anfällig für Verstöße wie Kriminalität ist und Heartbleed in 2012 und 2014, aber es hat viele Verbesserungen in Bezug auf Leistung und Leistung gezeigt Sicherheit.

TLS ersetzt SSL, und fast alle SSL-Versionen sind jetzt aufgrund ihrer bekannten Schwachstellen veraltet. Google Chrome ist ein solches Beispiel, das die Verwendung der SSL 3.0-Version bereits 2014 eingestellt hat, und die meisten modernen Webbrowser unterstützen SSL überhaupt nicht.

Verwenden Sie TLS für verschlüsselte Kommunikation

TLS hilft dabei, vertrauliche Informationen während der Übertragung wie Kreditkartendaten, E-Mails, Voice over IP (VOIP), Dateiübertragung und Passwörter zu sichern. Obwohl beide Zertifikate die Aufgabe der Datenverschlüsselung während der Übertragung erfüllen, unterscheiden sie sich in der Funktionalität und sind nicht interoperabel.

Es ist wichtig zu beachten, dass TLS nur als SSL bezeichnet wird, weil SSL die am häufigsten verwendete Terminologie ist und das Vorhandensein eines Zertifikats die Verwendung des TLS-Protokolls nicht garantiert. Außerdem müssen Sie sich keine Gedanken über den Wechsel von SSL- zu TLS-Zertifikaten machen, da Sie lediglich das Zertifikat auf dem Server installieren müssen, da es beide Protokolle unterstützt und entscheidet, welches verwendet werden soll.

7 Gründe, warum Ihre Website ein SSL-Zertifikat benötigt

Es spielt keine Rolle, ob Sie einen bescheidenen Blog oder eine vollständige E-Commerce-Site entwickeln: Sie benötigen ein SSL-Zertifikat. Hier sind einige praktische Gründe dafür.

Lesen Sie weiter

TeilenTwitternEmail
Verwandte Themen
  • Technik erklärt
  • Sicherheit
  • SSL
  • OpenSSL
  • Online-Sicherheit
  • Browser-Sicherheit
  • Datensicherheit
Über den Autor
Rumaisa Niazi (16 veröffentlichte Artikel)

Rumaisa ist freiberufliche Autorin bei MUO. Sie hat viele Rollen getragen, von einer Mathematikerin bis hin zu einer Enthusiastin für Informationssicherheit, und arbeitet jetzt als SOC-Analystin. Ihre Interessen umfassen das Lesen und Schreiben über neue Technologien, Linux-Distributionen und alles rund um Informationssicherheit.

Mehr von Rumaisa Niazi

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um sich anzumelden