Zum Inhalt springen
NeoGuard

SSL/TLS

Kryptografische Protokolle, die die Kommunikation zwischen deinem Browser und einer Website verschlüsseln (das Schloss-Symbol) und sicherstellen, dass Daten unterwegs nicht abgefangen oder manipuliert werden können.

SSL (Secure Sockets Layer) und sein Nachfolger TLS (Transport Layer Security) sind die Protokolle, die Daten bei der Übertragung zwischen deinem Browser und einer Website verschlüsseln. Wenn du das Schloss-Symbol in der Adressleiste deines Browsers siehst, ist TLS aktiv. Obwohl SSL technisch veraltet ist (ersetzt durch TLS 1.2 und 1.3), hält sich der Begriff «SSL» im allgemeinen Sprachgebrauch.

Was TLS schützt

  • Vertraulichkeit: Ein Angreifer, der das Netzwerk überwacht (z. B. in einem öffentlichen WLAN), kann die ausgetauschten Daten nicht lesen.
  • Integrität: Daten können während der Übertragung nicht unbemerkt verändert werden.
  • Authentifizierung: Das Zertifikat bestätigt, dass du mit dem echten Server kommunizierst, nicht mit einem Imitator.

Was TLS nicht schützt

TLS sichert die Verbindung, nicht die Endpunkte:

  • Es schützt keine auf dem Server gespeicherten Daten (dafür ist Verschlüsselung im Ruhezustand nötig)
  • Es verifiziert nicht, dass eine Website legitim ist, nur dass die Verbindung verschlüsselt ist. Eine Phishing-Seite kann ein gültiges TLS-Zertifikat haben.
  • Es schützt nicht vor Malware auf deinem Gerät, die Daten vor der Verschlüsselung abfängt
  • Für vollständige Netzwerkprivatsphäre (verbergen, welche Seiten du besuchst) brauchst du ein VPN

TLS-Versionen

  • TLS 1.3 (aktuell): Schnellerer Handshake, stärkere Standardeinstellungen, entfernt Unterstützung für schwache Algorithmen. Der Standard, den du verwenden solltest.
  • TLS 1.2: Noch akzeptabel, bietet aber mehr Konfigurationsoptionen, die falsch konfiguriert werden können.
  • TLS 1.0/1.1 und alle SSL-Versionen: Veraltet. Wenn deine Systeme diese noch verwenden, sind sie verwundbar.

TLS für Schweizer Unternehmen

  • Websites: Jede Unternehmenswebsite sollte TLS (HTTPS) verwenden. Kostenlose Zertifikate gibt es von Let’s Encrypt. Es gibt keinen validen Grund, 2026 eine unverschlüsselte Website zu betreiben.
  • E-Mail: Konfiguriere deinen Mailserver für TLS-Transportverschlüsselung (STARTTLS oder implizites TLS). Kombiniere ihn für sensible Kommunikation mit Ende-zu-Ende-Verschlüsselung.
  • APIs und interne Dienste: TLS sollte alle Daten bei der Übertragung schützen, einschliesslich interner Service-zu-Service-Kommunikation.
  • Compliance: Das nDSG verlangt angemessene technische Massnahmen zum Datenschutz. TLS auf allen externen Diensten ist eine regulatorische Mindesterwartung.

Zertifikatsmanagement

TLS-Zertifikate laufen ab (typischerweise alle 90 Tage bei Let’s Encrypt, bis zu 1 Jahr bei kostenpflichtigen Zertifikaten). Abgelaufene Zertifikate verursachen Browserwarnungen, die das Vertrauen der Nutzer zerstören. Automatisiere die Erneuerung, wo immer möglich.

Verwandte Begriffe

VerschlüsselungVPN (Virtual Private Network)Phishing