SSL vs TLS: Kennen Sie Ihre Protokolle für 2020

Google geht gegen die Sicherheit von Websites vor. Ab Chrome Version 62 benötigen alle Websites mit Texteingabefeldern ein SSL-Zertifikat, oder Google markiert die Website als nicht sicher mit einem roten Warnschild neben der URL.


Die Änderung kommt auch zu einem interessanten Zeitpunkt, wenn man bedenkt, dass Browser und Server kürzlich TLS unterstützen. Wenn Sie jedoch noch nicht mit dem Spiel zum Erstellen von Websites vertraut sind, können all diese Abkürzungen ausreichen, um Ihren Kopf zu drehen.

Wir sind hier, um die Verwirrung über SSL und TLS zu beseitigen und Ihnen zu zeigen, wie Sie Ihre Website im grünen Bereich halten können. Wir vergleichen, was mit den Sicherheitsprotokollen erreicht werden soll, gehen die neuesten verschlüsselten Verbindungen durch und führen Sie durch den Kauf eines Zertifikats für Ihre Website.

SSL vs TLS

SSL und TLS machen dasselbe. Sie sind verschlüsselte Protokolle für die Datenübertragung. Sie arbeiten, indem sie einen Handschlag zwischen zwei Maschinen herstellen. Der Handshake umfasst die Verschlüsselung, Authentifizierung und den Schlüsselaustausch. Sobald dies erledigt ist, wird eine sichere Verbindung zwischen den Maschinen hergestellt.

Die zwischen Maschinen übertragenen Daten werden dann je nach Verschlüsselung verschlüsselt und auf eine bestimmte Größe fragmentiert und an die Netzwerk-Transportschicht gesendet. Die Chiffre befasst sich mit der Verschlüsselung, nicht mit dem Handschlag. Die SSL- und TLS-Protokolle werden einfach verwendet, um den Handshake abzuschließen und ein Verschlüsselungsmodell zu vereinbaren.

Was sind SSL? & TLS?

SSL steht für “Secure Sockets Layer”. Es wurde von Netscape entwickelt und 1995 erstmals veröffentlicht. Die Veröffentlichung war Version zwei, und Hacker fanden schnell Wege, es zu durchbrechen. Ein Jahr später veröffentlichte Netscape die dritte Version, die acht Jahre lang als sicher galt.

Netscape

Im Jahr 2014 machte der POODLE-Angriff SSL 3.0 unsicher, aber niemand wusste es zu diesem Zeitpunkt. TLS (Transport Layer Security), eine sicherere Version von SSL, wurde 1999 veröffentlicht und aus Gründen der Abwärtskompatibilität mit einem Fallback-Mechanismus für SSL 3.0 ausgestattet.

Diese Kompatibilität wurde eingebaut, weil der POODLE-Angriff, ein Man-in-the-Middle-Exploit, diese Abwärtskompatibilität missbraucht hat (um mehr über MitM-Angriffe zu erfahren, lesen Sie unseren Artikel über die Gefahren von öffentlichem WLAN)..

TLS 1.1 wurde 2006 veröffentlicht und 1.2 folgte 2008. TLS 1.2 ist das aktuelle und sicherste Protokoll, obwohl 1.3 Anfang dieses Jahres genehmigt wurde. Wir erwarten, dass Browser und Server dies bald unterstützen werden.

Die Protokolle sind unterschiedlich, aber nicht mehr als die verschiedenen Versionen von SSL. Der gleiche Prozess findet statt, ein Handshake zwischen zwei Computern, aber die Version des Protokolls bestimmt, wie es passiert.

Das Abwärtskompatibilitätsproblem

Die Verwirrung um SSL und TLS beruht auf der Abwärtskompatibilität. TLS 1.2 enthält Reste früherer SSL-Versionen, um die Kompatibilität mit veralteten Browsern zu gewährleisten. Daher haben viele Websites die Funktionen nicht deaktiviert, die ein Protokoll wie TLS 1.2 unsicher machen.

Hier kommt TLS 1.3 ins Spiel. Es wurde entwickelt, um ältere Funktionen zu deaktivieren und die Leistung einer sicheren Verbindung zu beschleunigen. Anstatt sich auf ein Verschlüsselungsmodell zu einigen, stellt der Server den Verschlüsselungsschlüssel mit TLS 1.3 zur Verfügung. Dies macht theoretisch die mehrfachen Downgrade-Angriffe, die den Server zur Verwendung eines älteren Protokolls zwingen, überflüssig.

Das neueste Update ist ein Vorstoß in Richtung des modernen Internets und gibt das veraltete Modell auf, das durch frühere Versionen von SSL etabliert wurde. Hoffentlich werden Angriffe wie POODLE innerhalb weniger Jahre nicht mehr so ​​problematisch sein wie heute.

Verwenden von TLS auf Ihrer Website

Das für Ihre Website verwendete TLS-Protokoll hängt von dem Server ab, auf dem Sie gehostet werden. Die besten Webhosting-Anbieter verwenden ausschließlich TLS 1.1 und 1.2, wobei 1.0 im Allgemeinen Website-Erstellern vorbehalten ist, die keinen E-Commerce enthalten.

Die endgültige Version von TLS 1.3 wurde erst vor einigen Wochen veröffentlicht. Es wird also einige Zeit dauern, bis Webhosts sie unterstützen. Kinsta hat sich beispielsweise bereits mit der Veröffentlichung von TLS 1.3 befasst und unternimmt Schritte, um diese zu implementieren (lesen Sie unseren Kinsta-Test)..

Solange Sie ein SSL-Zertifikat verwenden, wird die Verbindung Ihres Besuchers verschlüsselt. Trotz des veralteten Namensschemas funktionieren Zertifikate immer noch mit den neuesten Protokollen, sogar TLS 1.3. Das Zertifikat selbst verschlüsselt nichts.

Zertifikate werden einfach als Überprüfungsmethode verwendet. Verschiedene Formen von SSL- und TLS-Zertifikaten zeigen, wie viel Vertrauen ein Browser in Ihre Domain hat. Wir werden diese im nächsten Abschnitt durchgehen.

Wenn Sie über ein Zertifikat verfügen, unabhängig davon, ob es sich um ein kostenloses Zertifikat von Dreamhost oder ein kostenpflichtiges Zertifikat von HostGator handelt, kann Ihre Site eine Verbindung mit dem neuesten Protokoll herstellen, das Ihr Server verwendet (lesen Sie unseren Dreamhost-Test und den HostGator-Test)..

Es gibt verschiedene Möglichkeiten, dies zu überprüfen. Die erste Möglichkeit besteht in der Wissensdatenbank Ihres Webhosts. GoDaddy verfügt beispielsweise über eine kleine Tabelle, in der angegeben ist, welche TLS-Version Ihr Server unterstützt, je nachdem, welchen Hosting-Plan Sie verwenden (lesen Sie unseren GoDaddy-Test)..

Sie können Ihren Webserver auch mit dem SSL-Servertest von SSL Labs testen. Es zeigt Ihnen, welches Protokoll Ihr Server verwendet, sowie die Verschlüsselungsmethode und gibt Ihnen eine Gesamtbewertung.

SSL- und TLS-Zertifikatstypen

Auch hier werden SSL-Zertifikate besser als “Zertifikate, die SSL und TLS verwenden können” definiert. Daher werden wir sie als SSL-Zertifikate bezeichnen, um Verwirrung in diesem Abschnitt zu vermeiden. Überall dort, wo Sie SSL oder TLS ohne Protokollversion lesen, sind sie gleich.

Domain-validierte Zertifikate

Die grundlegendste Form des SSL-Zertifikats ist ein domänenvalidiertes Zertifikat, das mit der Domänenregistrierung verglichen wird. Im Wesentlichen wird überprüft, ob die Domäne, auf die ein Benutzer zugreifen möchte, auf den richtigen DNS-Server verweist.

Es ist das billigste Zertifikat, das Sie erhalten können und das oft kostenlos in Paketen enthalten ist. Jimdo, einer unserer besten Website-Builder, bietet ein kostenloses Let’s Encrypt DV-Zertifikat, ebenso wie viele Website-Builder und Webhosts (lesen Sie unseren Jimdo-Test)..

DV-Zertifikate sind jedoch mit einem hohen Risiko verbunden, da Browser häufig nicht überprüfen können, ob das Geschäft auf der Website legitim ist. In Chrome wird normalerweise das https-Protokoll mit einem roten Schloss und einem Schrägstrich links angezeigt.

DV-Zertifikat

Wenn Sie ein Blog oder eine persönliche Website betreiben, ist ein DV-Zertifikat in Ordnung. Wenn Sie jedoch persönliche Informationen anfordern, insbesondere Kreditkarteninformationen, sollten Sie etwas Stärkeres verwenden.

Organisationsvalidierte Zertifikate

Von der Organisation validierte Zertifikate werden mit dem Unternehmen oder der Organisation verglichen. Agenten der Zertifizierungsstelle überprüfen die Registrierungsdatenbanken der Regierung, um sicherzustellen, dass die Site echt ist. Alle Daten in einem OV-Zertifikat sind legitim.

Wenn Sie ein kommerzielles Geschäft online betreiben, ist dies das Zertifikat, das Sie verwenden müssen. Ihre URL verwendet weiterhin https, aber neben der Adressleiste befindet sich eine Sperre. In Chrome ist es grün mit dem Wort “sicher” rechts.

OV-Zertifikat

Erweitertes Validierungszertifikat

OV-Zertifikate sind gut, erweiterte Validierungszertifikate jedoch besser. OV-Zertifikate erfordern eine einzige Überprüfung durch die Zertifizierungsstelle, während EV-Zertifikate eine kontinuierliche Überwachung auf der Grundlage der Richtlinien für eine erweiterte Validierung erfordern.

Der Überprüfungsprozess ist viel strenger und der Preis ist viel höher. Für große Online-Verkaufsstellen kann ein EV-Zertifikat jedoch das Vertrauen der Verbraucher verbessern und den Online-Umsatz steigern.

Für alles andere ist das Zertifikat weitgehend unnötig. Selbst große Websites, die keine Benutzerinformationen sammeln, verwenden keine EV-Zertifikate. Wenn Sie eine verwenden, zeigt der Browser eine grüne Adressleiste mit einem Schloss zusammen mit dem Namen Ihres Unternehmens an.

EV-Zertifikat

Abschließende Gedanken

Es gibt keinen Mangel an verwirrenden Akronymen, wenn es um Cybersicherheit geht, und der Wechsel von SSL zu TLS hilft dem nicht weiter. Obwohl die Protokolle unterschiedlich sind, erreichen sie dasselbe Ziel: eine sichere Verbindung zwischen dem Server und dem Benutzer.

In Bezug auf Zertifikate sind die Begriffe austauschbar. Machen Sie sich also keine Gedanken über das Upgrade eines SSL-Zertifikats auf ein TLS-Zertifikat. Sie sind dasselbe.

Wenn Sie nach Webhosting-Anbietern suchen, die Sie durch den Prozess führen können, lesen Sie unbedingt unser bestes billiges Webhosting, um zu erfahren, wie Sie dies ohne viel Geld tun können.

Gibt es noch etwas, auf das Sie bei SSL- oder TLS-Verbindungen neugierig sind? Lass es uns in den Kommentaren unten wissen und danke wie immer fürs Lesen.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map