Jeden Tag vertrauen wir dem Internet unsere höchst vertraulichen Daten an. Kreditkartendaten, Finanztransaktionen, private Nachrichten, Adressen und Telefonnummern werden alle über das Internet gesendet. Aber was genau schützt uns? Die Antwort lautet: TLS. In diesem Beitrag erklären wir, was TLS ist, wie es verwendet wird und warum du es benötigst.
Inhalt
Was ist TLS?
Solche Nachrichten können einerseits dazu führen, dass wir uns alle ziemlich veralbert fühlen. Andererseits ist es sehr ermutigend zu wissen, dass wir Cyberkriminellen immer einen Schritt voraus bleiben können – auch wenn unsere einzige Waffe ein gutes Passwort ist.
Wie funktioniert TLS?
TLS stellt eine sichere, private Verbindung zwischen einem Client (z. B. einem Webbrowser) und einem Server (z. B. nordpass.com) bereit. Die Kommunikation zwischen den beiden Parteien wird in Sekundenschnelle verifiziert, authentifiziert, zertifiziert und verschlüsselt. Das Endergebnis von TLS wird als „sichere symmetrische Verschlüsselung“ bezeichnet. Stell dir am besten eine Art geheimen Handschlag vor, um den Prozess zu verstehen.
Der Client sendet eine „Hello“-Nachricht an den Server: Die „message“ (Meldung) gibt an, welche TLS-Version der Client unterstützt. Sie enthält auch die unterstützten „Cipher Suites“ (Chiffre-Suites) und eine zufällige Zahlenfolge, die als „Client random bytes“ (Client-Zufallsbytes) bezeichnet werden.
(Die Zufallsbytes garantieren die „Freshness“ (Aktualität) des Handschlags. Die Zufälligkeit trägt dazu bei, Angreifer daran zu hindern, eine Reihe von nummerierten Sitzungen im Voraus zu simulieren und die für dich relevante Sitzung auszuwählen. Beide Seiten erzeugen eine zufällige Sequenz zur Verifizierung – mehr dazu weiter unten).
Der Server sendet eine „Hello“-Nachricht zurück: Die Antwortnachricht enthält das TLS-/SSL-Zertifikat des Servers, die gewählte Chiffre-Suite und eine weitere zufällige Zahlenfolge. Das Zertifikat aktiviert das HTTPS-Protokoll und neben der URL erscheint ein Vorhängeschloss als Symbol.
Der Client authentifiziert den Server: Der Client überprüft das TLS-/SSL-Zertifikat des Servers bei der ausstellenden Behörde. Dies bestätigt die Identität des Servers und beweist, dass der Client mit dem tatsächlichen Eigentümer der Domäne kommuniziert.
Der Client erstellt ein „Premaster secret“: Der Client erhält einen öffentlichen Schlüssel aus dem TLS-/SSL-Zertifikat des Servers. Der Schlüssel wird verwendet, um eine weitere zufällige Zahlenfolge zu verschlüsseln, die als „Premaster secret“ bezeichnet wird. Diese verschlüsselte Zahlenfolge kann nur mit einem privaten Schlüssel entschlüsselt werden, über den der Server verfügt.
Der Server verwendet seinen privaten Schlüssel, um das „Premaster secret“ zu entschlüsseln.
Ein Sitzungsschlüssel wird erstellt: Mittlerweile sind drei verschiedene zufällige Zahlenfolgen im Spiel (1: Client random, 2: Server random und 3: Premaster secret). Der Client und der Server verwenden alle drei Zahlenfolgen, um einen Sitzungsschlüssel zu generieren. Ein Sitzungsschlüssel ist eine Schutzmaßnahme: Er ist ein einzigartiger Schlüssel, der nur einmal verwendet wird, um ausschließlich diese Sitzung zu schützen. Bei jedem Besuch der Website wird ein neuer Sitzungsschlüssel generiert.
Der Client gibt bekannt, dass er bereit ist: Der Client sendet eine „Finished“-Nachricht, die mit dem exklusiven Sitzungsschlüssel verschlüsselt ist.
Der Server meldet, dass er bereit ist: Der Server handelt ebenso.
Der „Handschake“ ist abgeschlossen: Die Kommunikation zwischen dem Client (z. B. Safari) und dem Server (z. B. nordpass.com) wurde mit einer TLS-Verschlüsselung gesichert und ist vor Angreifern geschützt.
Kann TLS Hacker abwehren?
TSL ist sicher und zuverlässig: Ein „shared secret“ wird zwischen zwei Parteien ausgehandelt und mittels mehreren Schichten von Einmal-Codes und Schlüsseln geschützt. Auf diese Weise können Abhörer und Angreifer deine Daten unmöglich erraten oder sehen.
Die mehrschichtige Verschlüsselung verschlüsselt deine Daten und verwandelt sie in zufälliges Kauderwelsch. Selbst wenn ein passiver Angreifer deine Daten abgreifen würde, könnte er die Kommunikation nicht mitlesen.
Wo wird TLS verwendet?
TLS wird am häufigsten verwendet für:
Internet-Kommunikation. E-Mail-, Instant-Messaging-Apps und Voice-over-IP-Apps wie Skype.
Online-Transaktionen. Finanz-Apps wie PayPal und Western Union sowie Online-Banking-Websites. TLS wird häufig im Online-Shopping verwendet – gekennzeichnet durch das grüne Vorhängeschloss-Symbol in deinem Browser.
Was ist der Unterschied zwischen TLS und SSL?
TLS ist eine verbesserte Version von SSL.
1994 wurde SSL (Secure Sockets Layer) erfunden, um Informationen zu verschlüsseln, eine Client- und Server-Authentifizierung bereitzustellen und Daten zu schützen, die über unsichere Netzwerke übertragen werden. Innerhalb nur eines Jahres entwickelte es sich zur besten Methode, um Daten in E-Mails, Webbrowsern und VoIP-Verbindungen zu sichern. Es wurde jedoch festgestellt, dass SSL eine erhebliche Sicherheitslücke enthält.
Im Jahr 2013 äußerte Google große Besorgnis über die Sicherheit von SSL 3.0. Da SSL eine Mischung aus Klartext und verschlüsseltem Text verwendet, waren Hacker in der Lage, Passwörter zu lesen und die Kontoinformationen von Benutzern auf Websites offenzulegen. Jede Website, die SSL verwendet, ist anfällig für diese Art von Angriff, die unter dem Namen „POODLE“ bekannt ist.
TLS wurde entwickelt, um die Sicherheitslücken von SSL zu beheben, und natürlich wurde TLS von Unternehmen weltweit übernommen. Unternehmen können Sicherheitsprobleme auf Websites vermeiden, indem sie sicherstellen, dass ihre Websites und ihr Hosting-Server ausschließlich die neueste Version von TLS unterstützen.
Warum benötigen wir TLS?
HTTP steht für „HyperText Transfer Protocol“ und bildet das Grundgerüst für jede Website. Websites, deren Adresse mit HTTPS beginnt, verwenden eine sichere, private Verbindung, denn das S in HTTPS steht für „secure“ (sicher).
TLS bzw. SSL ist die zugrundeliegende Sicherheitstechnologie hinter HTTPS.
TLS verschlüsselt Online-Verbindungen, sodass deine Daten für Hacker unlesbar werden. Ohne TLS könnte jede Online-Verbindung abgefangen werden. Jeder könnte unsere Nachrichten mitlesen, Online-Anrufe könnten abgefangen werden und unsere Kreditkartendaten wären für Angreifer mühelos sichtbar. Aber weißt du, was das Beste daran ist, durch TLS geschützt zu sein? Du merkst nicht mal, dass TLS im Hintergrund am Werk ist.