EN

Aktivierung von einer TLS-Verschlüsselung

In diesem Artikel:

Das Transport-Layer-Security-Protokoll, auch bekannt als TLS, wird zur Verschlüsselung der Datenübertragung über das Internet verwendet. TLS wird in erster Linie für die Verschlüsselung der Kommunikation zwischen Servern und Anwendungen verwendet, aber auch für die Verschlüsselung von E-Mails, Nachrichten usw. 

Eine ordnungsgemäße Verschlüsselung ist für die Sicherheit von Daten und den Schutz wichtiger und sensibler Informationen wie Benutzeranmeldeinformationen, Finanzinformationen, sensible persönliche Daten und Korrespondenz usw. äußerst wichtig.

Wenn Sie auf Ihrem Server keine Verschlüsselung aktiviert haben, wird der gesamte Datenverkehr zu und von Ihrer Webanwendung über unverschlüsselte Kanäle transportiert. Dies macht Ihre Benutzer anfällig für Man-in-the-Middle-Angriffe und den Verlust sensibler Daten. Es kann auch zu einer vollständigen Systemkompromittierung führen, wenn es Angreifern gelingt, administrative Anmeldeinformationen zu erlangen.

Sicherheitsbewertung der TLS-Verschlüsselung

Security Assessment Enable TLS Encryption

CVSS-Vektor: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Was ist TLS-Verschlüsselung?

TLS ist ein kryptografisches Protokoll, das sich aus dem inzwischen veralteten Secure-Socket-Layer-(SSL)-Protokoll entwickelt hat. Der Zweck beider Protokolle besteht darin, Web-Sitzungen und Datenübertragungen über das Internet zu sichern, hauptsächlich auf der Anwendungsebene, wenn auch nicht ausschließlich.  

Bei richtiger Anwendung bietet die TLS-Verschlüsselung mehrere wichtige Sicherheitsvorteile:

  • Authentifizierung: Sie ermöglicht es den Clients, die Identität des Servers zu überprüfen, d. h., dass sie mit dem echten Server verbunden sind
  • Vertraulichkeit: Sie verhindert, dass Angreifer den Inhalt des Datenverkehrs mitlesen können.
  • Integrität: Sie verhindert, dass Angreifer den Datenverkehr verändern
  • Verhinderung von Wiederholungen: Es schützt vor Angreifern, die Anfragen an den Server wiederholen.
SSL Leakage visually represented in a graphic

Wie funktioniert TLS?

Um TLS zu verwenden, muss eine Website oder Anwendung TLS auf ihrem Server über ein TLS-Zertifikat aktivieren. Dieses Zertifikat, das von einer Zertifizierungsstelle (CA) ausgestellt wird, enthält Informationen darüber, wem die Domäne gehört. Es enthält auch den öffentlichen Schlüssel des Servers, der verwendet wird, wenn ein Client eine Verbindung zum Server herstellen will. Sowohl der Schlüssel als auch die Informationen über den Domänenbesitzer sind wichtig, um die Identität des Servers zu überprüfen und sicherzustellen, dass er derjenige ist, der er vorgibt zu sein. 

Technisch gesehen ist es möglich, dass ein Server ein selbstsigniertes Zertifikat verwendet, aber in einem solchen Fall muss sich der Client ausdrücklich dafür entscheiden, dem Zertifikat zu vertrauen. Am besten ist es, wenn ein Zertifikat von einer öffentlich vertrauenswürdigen Zertifizierungsstelle ausgestellt wird.

Um eine Verbindung mit einem Server über TLS herzustellen, tauschen der Client und der Server die so genannte TLS-Handshake-Sequenz aus. Die Sequenz durchläuft die folgenden Schritte:

  • Verhandlung: Die beiden Parteien einigen sich auf die TLS-Version und die zu verwendende Chiffriersuite
  • Authentifizierung: Die Identität des Servers wird über das Zertifikat authentifiziert (es gibt auch Arten von TLS-Handshake, die eine Authentifizierung des Clients erfordern)
  • Verschlüsselung: Die Sitzungsschlüssel (d. h. das Hauptgeheimnis), die zur Verschlüsselung des Datenverkehrs erforderlich sind, werden mit Hilfe der öffentlichen und privaten Schlüssel beider Parteien erstellt.
  • Nachrichten-Authentifizierung: Das TLS-Protokoll stellt einen Nachrichtenauthentifizierungscode (MAC) bereit, um die Integrität und Authentizität jeder ausgetauschten Nachricht zu gewährleisten.

Um die Robustheit der Datenverschlüsselung zu gewährleisten, verwendet die TLS-Handshake-Sequenz asymmetrische Kryptographie (öffentliche und private Schlüssel). Der Client und der Server tauschen über diese Schlüssel ein gemeinsames Geheimnis aus, ohne sich vorher zu kennen. Das bedeutet, dass sie bei der Verwendung eines unverschlüsselten Kanals unabhängig voneinander eine Vereinbarung darüber treffen, wie die Kommunikation anschließend verschlüsselt werden soll. 

Die asymmetrische Verschlüsselung birgt eine Reihe möglicher Schwachstellen, von denen die meisten durch das von TLS unterstützte perfekte Vorwärtsgeheimnis verhindert werden können.

All diese Aspekte zusammengenommen bilden den Prozess der Sicherung des Datenaustauschs über das TLS-Protokoll. Es ermöglicht den Austausch von authentifizierter und verschlüsselter Kommunikation, deren Integrität dadurch garantiert ist. 

Informationen über Schwachstellen der TLS-Verschlüsselung

Das Fehlen der TLS-Verschlüsselung ist natürlich eine große Schwachstelle, die den Datenverkehr ungeschützt und für böswillige Parteien leicht zugänglich macht. 

Aber auch mit TLS-Verschlüsselung gibt es eine Reihe von Möglichkeiten, wie Ihre Anwendung angegriffen und kompromittiert werden kann. Zu den möglichen Angriffen auf Systeme, die TLS-Verschlüsselung verwenden, gehören u. a: 

Präventionsleitfaden für SSL/TLS-Schwachstellen

Leitfaden

Erfahren Sie, wie Sie verschiedene Arten von SSL/TLS-Schwachstellen erkennen und verhindern können.

Mehr erfahren

Wie man TLS-Schwachstellen verhindern kann

Das OWASP Cheat Sheet zum Thema Transport Layer Protection bietet eine Reihe von Maßnahmen, die ergriffen werden können, um TLS-Schwachstellen zu verhindern. Dazu gehören:

Server-Konfiguration

  • Unterstützung nur für starke Protokolle wie TLS 1.2 und 1.3 und Deaktivierung aller anderen Protokolle
  • Unterstützung nur für starke Chiffren und, wenn möglich, nur für Galois/Counter Mode (GCM)-Chiffren
  • Wenn ein ephemerer Diffie-Hellman-Schlüsselaustausch verwendet wird, sollten nur starke DH-Parameter verwendet werden.
  • Deaktivieren Sie die TLS-Kompression, um CRIME zu verhindern.
  • Halten Sie die kryptografischen Bibliotheken mit den neuesten Patches auf dem neuesten Stand
  • Testen Sie die Serverkonfiguration, nachdem sie gehärtet wurde.

Zertifikate

  • Verwenden Sie einen starken privaten Schlüssel und schützen Sie ihn vor unbefugtem Zugriff durch Dateisystemberechtigungen und andere Kontrollen
  • Verwenden Sie starke kryptografische Hash-Algorithmen wie SHA-256 
  • Stellen Sie sicher, dass der Domänenname mit dem vollständig qualifizierten Namen des Servers übereinstimmt, der das Zertifikat vorlegt.
  • Überdenken Sie die Verwendung von Wildcard-Zertifikaten aufgrund des erhöhten Risikos einer Sicherheitsgefährdung
  • Verwendung einer vertrauenswürdigen und bekannten Zertifizierungsstelle (CA)
  • Verwenden Sie DNS-Einträge zur Autorisierung von Zertifizierungsstellen (CAA), um die CAs zu definieren, die Zertifikate ausstellen können.
  • Stellen Sie immer Zwischenzertifikate zusammen mit dem Hauptzertifikat bereit.
  • Ziehen Sie die Verwendung von EV-Zertifikaten (Extended Validation) in Betracht, wenn diese zusätzliche Sicherheit und Wert bieten können.

Anwendung

  • Verwenden Sie TLS für alle Seiten, nicht nur für sensible Seiten
  • Verwenden Sie keine Nicht-TLS-Inhalte (wie JavaScript oder CSS) auf Seiten, die über TLS verfügbar sind.
  • Kennzeichnen Sie alle Cookies mit dem Attribut „Sicher“.
  • Verwenden Sie HTTP-Header, um die Browser anzuweisen, keine sensiblen Informationen zwischenzuspeichern.
  • Verwenden Sie HTTP Strict Transport Security (HSTS), um sicherzustellen, dass der Browser des Benutzers die Website immer über HTTPS anfordert. 
  • Ziehen Sie die Verwendung von Client-seitigen Zertifikaten in Betracht, damit auch die Clients ihre Identität überprüfen müssen.
  • Verwenden Sie Public Key Pinning, um sicherzustellen, dass das Zertifikat des Servers gültig und vertrauenswürdig ist und mit dem für den Server erwarteten Zertifikat übereinstimmt.

So aktivieren Sie die TLS-Verschlüsselung

Um Ihren Benutzern einen sicheren Weg zur Kommunikation mit Ihrer Webanwendung zu bieten, müssen Sie die TLS-Verschlüsselung aktivieren. Sie können die TLS-Verschlüsselung durch Konfigurieren von vertrauenswürdigen Zertifikaten aktivieren.

Erhalten Sie jetzt kostenlos einen schnellen Sicherheitsbericht für Ihre Website

Wir analysieren derzeit https://example.com
Wir scannen derzeit https://example.com
Status des Scans: In Bearbeitung
Scan target: http://example.com/laskdlaksd/12lklkasldkasada.a
Datum: 06/12/2022
Crashtest Security Suite prüft auf:
Information disclosure Known vulnerabilities SSL misconfiguration Open ports
Scanauftrag ausfüllen
Bitte geben Sie Ihre Daten ein, um die schnelle Sicherheitsüberprüfung zu erhalten.
Ein Sicherheitsspezialist analysiert gerade Ihren Scan-Bericht.
Bitte geben Sie Ihre Telefon-/Handynummer an, damit wir Ihre Identität überprüfen können:
Vielen Dank.
Wir haben Ihren Antrag erhalten.
Sobald Ihr Sicherheitsaudit fertig ist, werden wir Sie benachrichtigen.