https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Ssl%2Ftls_Grunds%C3%A4tzliches 2026-06-29T12:30:57Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=Ssl/tls_Grunds%C3%A4tzliches&diff=65860&oldid=prev 2025-11-27T06:17:53Z

<p></p> <table class="diff diff-contentalign-left diff-editfont-monospace" data-mw="interface"> <col class="diff-marker" /> <col class="diff-content" /> <col class="diff-marker" /> <col class="diff-content" /> <tr class="diff-title" lang="de"> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td> <td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version vom 27. November 2025, 06:17 Uhr</td> </tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l1" >Zeile 1:</td> <td colspan="2" class="diff-lineno">Zeile 1:</td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"></del></div></td><td colspan="2"> </td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;">= Einführung in SSL/TLS =</del></div></td><td colspan="2"> </td></tr> <tr><td class='diff-marker'>−</td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div><del style="font-weight: bold; text-decoration: none;"></del></div></td><td colspan="2"> </td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Begriffserklärung ==</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>== Begriffserklärung ==</div></td></tr> <tr><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>*SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind kryptografische Protokolle, die Datenverbindungen absichern.</div></td><td class='diff-marker'> </td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>*SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind kryptografische Protokolle, die Datenverbindungen absichern.</div></td></tr> </table>

Thomas.will https://wiki.ixheim.de/index.php?title=Ssl/tls_Grunds%C3%A4tzliches&diff=65859&oldid=prev 2025-11-27T06:17:44Z

<p>Die Seite wurde neu angelegt: „ = Einführung in SSL/TLS = == Begriffserklärung == *SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind kryptografische Protokolle, die Daten…“</p> <p><b>Neue Seite</b></p><div><br /> = Einführung in SSL/TLS =<br /> <br /> == Begriffserklärung ==<br /> *SSL (Secure Sockets Layer) und TLS (Transport Layer Security) sind kryptografische Protokolle, die Datenverbindungen absichern.<br /> *TLS ist der moderne und sichere Nachfolger von SSL. SSL gilt heute als veraltet.<br /> *TLS stellt Vertraulichkeit, Integrität und Authentizität sicher.<br /> <br /> == Ziele von TLS ==<br /> *Vertraulichkeit: Daten werden verschlüsselt, sodass Dritte sie nicht lesen können.<br /> *Integrität: Manipulationen werden erkannt, da jedes Datenpaket kryptografisch geprüft wird.<br /> *Authentizität: Der Client kann überprüfen, ob er wirklich mit dem legitimen Server kommuniziert.<br /> <br /> == Warum TLS notwendig ist ==<br /> *Unverschlüsselter HTTP-Verkehr kann vollständig mitgelesen und verändert werden.<br /> *Angriffe wie Man-in-the-Middle, Session Hijacking, Phishing oder Spoofing wären ohne TLS trivial.<br /> *TLS schützt Logins, Zahlungen, E-Mails, APIs, VPNs und alle sicherheitskritischen Dienste.<br /> *TLS ist somit ein grundlegender Baustein moderner IT-Sicherheit.<br /> <br /> == Kryptografische Grundlagen ==<br /> *Asymmetrische Kryptografie (z.B. RSA, ECDSA) wird zur Authentifizierung und zum Schlüsselaustausch verwendet.<br /> *Symmetrische Kryptografie (z.B. AES-GCM, ChaCha20-Poly1305) schützt die eigentlichen Nutzdaten.<br /> *Hashfunktionen (z.B. SHA-256, SHA-384) dienen zur Integritätsprüfung und Signaturerstellung.<br /> <br /> == Aufbau eines Zertifikats ==<br /> *Ein Zertifikat enthält den öffentlichen Schlüssel eines Servers und zusätzliche Identitätsinformationen.<br /> *Es wird von einer Zertifizierungsstelle (CA) digital signiert.<br /> *Ein Zertifikat bestätigt: Dieser öffentliche Schlüssel gehört zu diesem Servernamen.<br /> *Moderne Zertifikate verwenden X.509 als Standardformat.<br /> <br /> == Zertifikatskette ==<br /> *Server-Zertifikat: gehört zum konkreten Host (z.B. www.example.com).<br /> *Intermediate CA: signiert viele Server-Zertifikate, hängt unter einer Root CA.<br /> *Root CA: im Betriebssystem oder Browser fest hinterlegt und vertrauenswürdig.<br /> *Der Client prüft die gesamte Zertifikatskette, bevor er dem Server vertraut.<br /> <br /> == Funktionsweise von TLS (zwei Phasen) ==<br /> *Handshake-Phase: Server-authentifizierung, Aushandeln der Parameter, Ableitung des Sitzungsschlüssels.<br /> *Datenphase: Verschlüsselte Kommunikation mit dem ausgehandelten symmetrischen Schlüssel.<br /> <br /> == TLS Handshake im Überblick ==<br /> *Client meldet sich beim Server und sendet unterstützte Protokoll- und Verschlüsselungsverfahren.<br /> *Server wählt ein gemeinsames Verfahren und sendet sein Zertifikat.<br /> *Der Client prüft die Signatur des Zertifikats gegen die CA-Kette.<br /> *Beide Seiten erzeugen gemeinsam einen Sitzungsschlüssel (Session Key).<br /> *Nach Abschluss des Handshakes beginnt die verschlüsselte Datenübertragung.<br /> <br /> == Bedeutung der Signatur im TLS-Handschlag ==<br /> *Der Server signiert einen Hash aus bestimmten Sitzungsparametern.<br /> *Der Client prüft diese Signatur mit dem öffentlichen Schlüssel des Servers.<br /> *Stimmt der Hash, ist sicher: Der Server besitzt den zugehörigen privaten Schlüssel.<br /> *Dies legitimiert den Server als „echten“ Host.<br /> <br /> == Symmetrische Verschlüsselung in der Datenphase ==<br /> *Nach dem Handshake wird nur noch der Session Key verwendet.<br /> *Das ist effizienter und schneller als asymmetrische Kryptografie.<br /> *Durch Perfect Forward Secrecy (PFS) kann ein später kompromittierter Schlüssel frühere Sitzungen nicht entschlüsseln.<br /> <br /> == TLS Cipher Suites ==<br /> *Eine Cipher Suite definiert, welche Algorithmen verwendet werden.<br /> *Beispiel: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384<br /> **ECDHE: Schlüsselaustausch (Elliptic Curve Diffie-Hellman Ephemeral)<br /> **RSA: Signaturverfahren<br /> **AES_256_GCM: Symmetrische Verschlüsselung<br /> **SHA384: Hashfunktion<br /> *TLS 1.3 vereinfacht Cipher Suites erheblich und verbessert die Sicherheit.<br /> <br /> == Sicherheitsmerkmale moderner TLS-Versionen ==<br /> *Perfect Forward Secrecy wird standardmäßig erzwungen.<br /> *Vereinfachter und sicherer Handshake.<br /> *Reduzierte Anzahl kryptografischer Optionen zur Fehlervermeidung.<br /> *Abschaltung unsicherer Verfahren wie RC4, 3DES, MD5 oder SHA-1.<br /> *Strenge Überprüfung der Zertifikatskette.<br /> <br /> == Risiken bei falscher TLS-Konfiguration ==<br /> *Verwendung veralteter Protokolle (SSL 3.0, TLS 1.0, TLS 1.1).<br /> *Schwache Cipher Suites ohne PFS.<br /> *Ungültige oder abgelaufene Zertifikate.<br /> *Zertifikate mit falschen Hostnamen.<br /> *Selbstsignierte Zertifikate ohne Vertrauenskette.<br /> *HSTS fehlt → Gefahr von Downgrade- und MitM-Angriffen.<br /> <br /> == Moderne TLS-Versionen ==<br /> *SSL 2.0/3.0: komplett unsicher, verboten.<br /> *TLS 1.0/1.1: veraltet, viele Angriffe möglich.<br /> *TLS 1.2: weit verbreiteter, sicherer Standard.<br /> *TLS 1.3: moderne Version mit stark reduziertem Handshake, hoher Sicherheit und besserer Performance.<br /> *Empfehlung: Nur TLS 1.2 und TLS 1.3 aktiv verwenden.<br /> <br /> == Einsatzgebiete von TLS ==<br /> *HTTPS / Webanwendungen<br /> *VPN-Protokolle (TLS-basierte Lösungen)<br /> *E-Mail-Schutz (IMAPS, SMTPS, POP3S)<br /> *APIs und Microservices<br /> *IoT-Kommunikation<br /> *Remote-Administration<br /> *Verzeichnisdienste und Authentifizierung<br /> <br /> == Typische Angriffe ohne TLS ==<br /> *Abhören des Traffics (Eavesdropping)<br /> *Manipulation von Daten (Tampering)<br /> *Man-in-the-Middle-Angriffe<br /> *Session Hijacking<br /> *DNS-Spoofing in HTTP-Verbindungen<br /> *Passwortdiebstahl über Formularübertragung<br /> <br /> == Best Practices für den Einsatz ==<br /> *Mindestversion TLS 1.2 aktivieren, ideal TLS 1.3.<br /> *Schwache Cipher Suites deaktivieren (3DES, RC4, ohne PFS).<br /> *HSTS aktivieren.<br /> *Zertifikate regelmäßig erneuern.<br /> *Nur vertrauenswürdige CAs verwenden.<br /> *Private Schlüssel sicher speichern.<br /> *Server Name Indication (SNI) nutzen.<br /> *Keine veralteten Protokollerweiterungen aktiv lassen.<br /> <br /> == Zusammenfassung ==<br /> *TLS ist der zentrale Baustein der sicheren Internetkommunikation.<br /> *Schützt Daten vor Mitlesen, Manipulation und Identitätsfälschung.<br /> *Kombiniert asymmetrische, symmetrische und hashbasierte Verfahren.<br /> *Authentifiziert den Server über Zertifikate und die CA-Kette.<br /> *Perfekt geeignet für Web, E-Mail, VPN, APIs und alle sicherheitskritischen Dienste.</div>

Thomas.will