Seit 2018 gilt das HTTPS-Protokoll als Standard für sichere Websites – vor allem dank Google, das unverschlüsselte Seiten in seiner Suche abstraft. Vielleicht ist auch Deine Website bereits mit HTTPS ausgestattet. Doch Vorsicht: Das allein reicht nicht unbedingt aus. Denn nicht alle HTTPS-Verbindungen sind gleich sicher. Entscheidend ist, welche TLS-Version (Transport Layer Security) im Hintergrund aktiv ist.
Das Internet wurde ab 1995 zunehmend für die breite Öffentlichkeit zugänglich und erlebte rasch einen massiven Aufschwung. Mit dieser Popularität wuchs jedoch auch die Notwendigkeit, verbindliche Sicherheitsstandards zu definieren, um den Datenverkehr im Netz zu schützen.
Tatsächlich war dieses Bedürfnis nicht neu. Bereits fast zehn Jahre zuvor – in einer Zeit, in der das Internet überwiegend von Forschern und akademischen Einrichtungen genutzt wurde – hatte die US-Regierung erkannt, dass klare technische Standards notwendig sein würden. Aus dieser Einsicht entstand 1986 die IETF (Internet Engineering Task Force), eine zunächst staatlich initiierte, später unabhängige Organisation, die bis heute für die Entwicklung zentraler Internetprotokolle zuständig ist.
Im Jahr 1999 – vor dem Hintergrund des rasant wachsenden World Wide Webs – veröffentlichte die IETF das Sicherheitsprotokoll TLS (Transport Layer Security). Sein Hauptzweck: die Ende-zu-Ende-Verschlüsselung der Kommunikation zwischen zwei internetverbundenen Systemen, zum Beispiel zwischen einem Webserver und dem Browser des Nutzers.
Die aktuell gültige Version, TLS 1.3, wurde 2018 veröffentlicht und bringt gegenüber den älteren Versionen zahlreiche Verbesserungen hinsichtlich Sicherheit, Geschwindigkeit und Datenschutz.
Wenn Du heute eine Website besuchst, nutzt Du höchstwahrscheinlich das HTTPS-Protokoll, das wiederum auf SSL- bzw. TLS-Verschlüsselungsstandard basiert. Doch auch wenn HTTPS mittlerweile Standard ist, bedeutet das nicht automatisch, dass Deine Verbindung optimal geschützt ist. Denn nicht alle HTTPS-Implementierungen verwenden die neueste Version des TLS-Protokolls – und genau hier liegt ein oft unterschätztes Risiko.
HTTPS basiert auf TLS
Ursprünglich nutzten Websites das HTTP-Protokoll, das keinerlei Sicherheitsmechanismen bot. Die übertragenen Daten wurden unverschlüsselt zwischen dem Server und dem Browser gesendet. Dadurch war es für Hacker relativ einfach, diese Informationen abzufangen – zum Beispiel Passwörter oder Formulardaten.
Um das Web sicherer zu machen, entwickelte das Unternehmen Netscape, bekannt durch den ersten erfolgreichen Webbrowser, ein Verschlüsselungsprotokoll namens SSL. Websites, die diesen Schutz nutzten, waren durch das Präfix HTTPS erkennbar. Gegen Ende der 2010er Jahre stufte Google diese Verschlüsselung als unverzichtbar ein und begann, HTTP-Seiten im Ranking herabzustufen, um Website-Betreiber zur Umstellung auf HTTPS zu bewegen.
Doch worin genau liegt der Unterschied zwischen HTTPS und TLS? Streng genommen gibt es ihn nicht: SSL – und damit auch HTTPS – integriert den TLS-Algorithmus.
Genauer gesagt ist HTTPS eine Implementierung von TLS, das dem HTTP-Protokoll überlagert ist. Das bedeutet: Eine Website, die HTTPS nutzt, verwendet im Hintergrund TLS zur Verschlüsselung.
Allerdings reicht HTTPS allein nicht zwangsläufig aus, um eine sichere Verbindung zu gewährleisten. Der Grund dafür ist, dass einige HTTPS-Implementierungen noch auf veralteten Standards wie TLS 1.0 basieren. Deshalb ist es entscheidend, darauf zu achten, dass das eingesetzte TLS-Zertifikat mindestens Version 1.3 nutzt. Doch warum ist das so wichtig?
Was ist ein TLS-Zertifikat?
Eine Website, die durch HTTPS geschützt ist, verwendet ein sogenanntes TLS-Zertifikat. Dieses Zertifikat enthält Informationen über den Domaininhaber sowie den öffentlichen Schlüssel des Servers – der wiederum aus einem geheim gehaltenen privaten Schlüssel abgeleitet wird. Beides ist entscheidend, um den Server eindeutig zu authentifizieren.
Ein solches Zertifikat wird von einer offiziellen Zertifizierungsstelle ausgestellt – zum Beispiel von Let’s Encrypt, DigiCert oder GoDaddy – und an den Inhaber der Domain vergeben.
Du kannst das Zertifikat jeder beliebigen Website, die Du besuchst, ganz einfach einsehen: Klicke dafür in der Adressleiste Deines Browsers auf das kleine Symbol vor der URL. Dort findest Du das aktuell verwendete TLS-Zertifikat – das manchmal fälschlich auch als SSL-Zertifikat bezeichnet wird, was auf eine gewisse Begriffsverwirrung in der Geschichte dieser Protokolle zurückgeht.
Wie funktioniert eine TLS-Verbindung?
Um besser zu verstehen, wie ein TLS-Zertifikat funktioniert, lohnt sich ein Blick auf den Ablauf einer verschlüsselten Verbindung zwischen einem Computer und einem Webserver.
Sobald Du eine Website-Adresse in Deinem Browser eingibst oder auswählst, beginnt ein sogenannter TLS-Handshake. Dabei handelt es sich um eine Verhandlung zwischen Deinem Endgerät und dem Server, der die Website hostet.
Während dieser Phase:
Tauschen sich beide Seiten über die unterstützte TLS-Version aus (z. B. TLS 1.0, 1.2 oder 1.3),
Einigen sie sich auf das Verschlüsselungsverfahren, das für die Dauer der Sitzung verwendet wird – um sicherzustellen, dass die übertragenen Daten nicht abgefangen oder manipuliert werden können,
Authentifiziert sich der Server gegenüber dem Client mithilfe seines TLS-Zertifikats,
Werden kryptographische Schlüssel erzeugt, mit denen alle nachfolgenden Daten verschlüsselt werden.
Dieser Ablauf stellt sicher, dass die Verbindung zwischen Benutzer und Server nicht nur verschlüsselt, sondern auch authentifiziert ist.
Was macht TLS 1.3 besser?
Wie bereits erwähnt, wird beim Verbindungsaufbau auch die verwendete TLS-Version festgelegt. Die älteren Versionen TLS 1.0 und 1.1 gelten heute als veraltet und nicht mehr sicher.
Ab etwa 2010 traten mehrere gravierende Sicherheitslücken zutage – darunter:
BEAST (2011)
CRIME (2012) und BREACH (2013)
Heartbleed (2014)
Diese Angriffe zeigten deutlich, dass Verbesserungen im Protokoll notwendig waren. Inzwischen unterstützen viele große Cloud-Plattformen TLS 1.0 nicht mehr, und die Verwendung von TLS 1.3 gilt als Best Practice.
Ein entscheidender Vorteil von TLS 1.3 ist die Einführung des Prinzips der Perfect Forward Secrecy (PFS). Dabei wird für jede Sitzung ein temporärer Schlüssel generiert. Selbst wenn der private Schlüssel eines Servers kompromittiert würde, könnten damit keine früheren Sitzungen entschlüsselt werden – die Daten blieben geschützt.
Die klare Empfehlung lautet daher: Halte Deine TLS-Konfiguration aktuell, insbesondere bei sicherheitskritischen Anwendungen wie Online-Shops. Mit Tools wie dem SSL Labs Test von Qualys kannst Du prüfen, wie sicher Deine Website konfiguriert ist.
