software-wartung24.de
· 5 Min. Lesezeit· Sandor Farkas

TLS 1.3: Warum veraltete Verschlüsselung Ihre Website und Ihre Nutzer gefährdet

SicherheitTLSVerschlüsselungEnd of Life

Ihre Website hat ein Schloss an der Tür: die TLS-Verschlüsselung. TLS steht für Transport Layer Security. Dieses Protokoll schützt alle Daten zwischen Browser und Server. Passwörter, Formulare, Bestellungen: alles läuft durch diesen Kanal.

Das Problem: Viele ältere Systeme nutzen noch TLS 1.0 oder 1.1. Beide Versionen sind seit 2021 offiziell abgekündigt. Sie gelten als unsicher. Wer sie einsetzt, gefährdet Nutzerdaten und die eigene DSGVO-Konformität.

Dieser Artikel erklärt, was dahinter steckt. Und wie die Umstellung auf TLS 1.3 gelingt.

Was ist TLS? Und was hat SSL damit zu tun?

TLS regelt zwei Dinge. Erstens: Der Browser prüft, ob er wirklich mit Ihrem Server spricht. Zweitens: Alle übertragenen Daten werden verschlüsselt. Niemand kann unterwegs mitlesen.

Der Vorgänger von TLS hieß SSL, Secure Sockets Layer. SSL wurde seit den Neunzigern mehrfach abgelöst. Der Begriff hat sich trotzdem gehalten. Wenn heute jemand von einem SSL-Zertifikat spricht, meint er technisch ein TLS-Zertifikat. Der Unterschied zwischen SSL und TLS ist also vor allem historisch. Eine ausführliche Einordnung finden Sie in unserem Überblick zu SSL und TLS.

Wichtig ist etwas anderes: die Version. TLS gibt es in den Versionen 1.0, 1.1, 1.2 und 1.3. Und genau hier trennt sich sicher von unsicher.

Warum TLS 1.0 und 1.1 ausgedient haben

TLS 1.0 stammt aus dem Jahr 1999. TLS 1.1 aus dem Jahr 2006. Beide nutzen Verschlüsselungsverfahren, die heute als gebrochen gelten. Angriffe darauf sind dokumentiert und öffentlich verfügbar.

Deshalb wurden beide Versionen im März 2021 offiziell für veraltet erklärt. Die großen Browser hatten den Support schon 2020 beendet. TLS 1.0 und 1.1 haben damit ihr End of Life erreicht. Es gibt keinen Grund mehr, sie einzusetzen.

Der aktuelle Stand sieht so aus:

  • TLS 1.0 und 1.1: abgekündigt, unsicher, abschalten
  • TLS 1.2: aus 2008, weiterhin akzeptabel bei korrekter Konfiguration
  • TLS 1.3: aus 2018, der aktuelle Standard, schneller und sicherer

TLS 1.3 hat gegenüber den Vorgängern aufgeräumt. Alle bekannten unsicheren Verfahren wurden entfernt. Der Verbindungsaufbau ist zudem schneller. Ihre Website profitiert doppelt: mehr Sicherheit, bessere Ladezeit.

Was passiert, wenn Sie nichts tun?

Daten lassen sich mitlesen

Eine schwache TLS-Verschlüsselung ist wie ein Schloss mit bekanntem Trick. Von außen wirkt es stabil. Wer den Trick kennt, öffnet es trotzdem. Bei TLS 1.0 und 1.1 sind diese Tricks seit Jahren dokumentiert. Angreifer können übertragene Daten unter bestimmten Bedingungen entschlüsseln. Betroffen sind dann Passwörter, Kundendaten und Zahlungsinformationen.

Browser warnen Ihre Besucher

Chrome, Firefox, Edge und Safari unterstützen TLS 1.0 und 1.1 nicht mehr. Besucher sehen eine Fehlermeldung statt Ihrer Website. Das kostet Vertrauen und Umsatz. Wie es älteren Websites ohne saubere Verschlüsselung ergeht, zeigt unser Artikel über HTTPS für ältere Websites.

DSGVO verlangt Stand der Technik

Die Datenschutz-Grundverordnung verpflichtet Sie, personenbezogene Daten angemessen zu schützen. Der Maßstab dafür ist der Stand der Technik. TLS 1.0 und 1.1 erfüllen diesen Maßstab nicht mehr. Kommt es zu einem Vorfall, fragt die Aufsichtsbehörde genau danach. Eine gute Antwort gibt es dann nicht.

Schnittstellen und Zahlungsdienste streiken

Auch Maschinen reden über TLS miteinander. Zahlungsdienstleister verlangen seit 2018 mindestens TLS 1.2. Moderne Schnittstellen von Banken, Versanddiensten und Buchhaltungstools ebenfalls. Ein System mit alter TLS-Konfiguration verliert nach und nach seine Verbindungen. Oft merkt man es erst, wenn eine Schnittstelle plötzlich ausfällt.

So finden Sie heraus, welche TLS-Version läuft

Die gute Nachricht: Die Prüfung dauert fünf Minuten. Kostenlose Dienste wie der SSL Server Test von Qualys analysieren Ihre Domain. Sie sehen sofort, welche TLS-Versionen Ihr Server anbietet. Und welche Note die Konfiguration insgesamt bekommt.

Taucht dort TLS 1.0 oder 1.1 auf, besteht Handlungsbedarf. Fehlt TLS 1.3, lohnt sich die Umstellung ebenfalls. Warum veraltete Protokolle ein konkretes Risiko sind, vertieft unser Beitrag über veraltete SSL- und TLS-Versionen.

So gelingt die Umstellung auf TLS 1.3

Die Umstellung ist in den meisten Fällen überschaubar. Sie besteht aus vier Schritten.

Schritt 1: Bestandsaufnahme. Wo wird die Verschlüsselung technisch abgewickelt? Direkt am Webserver, am Load Balancer oder an einem vorgeschalteten Proxy? Diese Stelle müssen Sie kennen, bevor Sie etwas ändern.

Schritt 2: Software prüfen. TLS 1.3 braucht eine aktuelle Verschlüsselungsbibliothek, meist OpenSSL ab Version 1.1.1. Sehr alte Server bringen die nicht mit. Dann muss zuerst das Betriebssystem oder der Webserver aktualisiert werden. Hier zeigt sich, was sich über die Jahre angesammelt hat. Die TLS-Frage hängt deshalb oft mit dem Zustand der gesamten Anwendung zusammen. Mehr dazu in unserem Artikel über alte Software als Sicherheitsrisiko.

Schritt 3: Konfiguration anpassen. In Apache oder Nginx sind es wenige Zeilen. TLS 1.2 und 1.3 aktivieren, TLS 1.0 und 1.1 abschalten, schwache Verfahren entfernen. Wichtig: erst auf einer Testumgebung prüfen, dann live schalten.

Schritt 4: Prüfen und dokumentieren. Nach der Umstellung den SSL-Test erneut laufen lassen. Das Ergebnis gehört in Ihre Dokumentation. Bei der nächsten Datenschutz-Anfrage haben Sie damit einen Nachweis.

Ein Sonderfall sind sehr alte Anwendungen oder Geräte, die selbst nur TLS 1.0 sprechen. Etwa alte Warenwirtschaftssysteme oder fest verbaute Schnittstellen-Clients. Hier hilft ein vorgeschalteter Proxy, der die moderne Verschlüsselung übernimmt. Das ist keine Dauerlösung, aber ein sicherer Zwischenschritt.

Fazit: Kleine Umstellung, große Wirkung

Veraltete TLS-Verschlüsselung ist ein stilles Risiko. Die Website läuft, niemand beschwert sich, alles wirkt normal. Bis ein Browser blockiert, eine Schnittstelle ausfällt oder Daten abfließen.

Die Umstellung auf TLS 1.2 und 1.3 gehört zu den günstigsten Sicherheitsmaßnahmen überhaupt. Wenige Stunden Aufwand, dauerhafter Schutz. Und ein Nachweis, dass Ihre Systeme dem Stand der Technik entsprechen.

Sie wissen nicht, welche TLS-Versionen Ihre Systeme anbieten? Wir prüfen das im Rahmen eines Sicherheits-Audits und setzen die Umstellung direkt um. Sprechen Sie uns an. Das Erstgespräch ist kostenlos.

Weitere Artikel

Abstraktes Titelbild zum Thema Veraltetes SSL/TLS: Warum alte Verschlüsselung zum Risiko wird (KI-generiert)
· 6 Min. Lesezeit

Veraltetes SSL/TLS: Wenn Verschlüsselung zum Risiko wird

Veraltetes SSL und alte TLS-Versionen wie TLS 1.0 gelten als unsicher. Viele Websites nutzen sie noch, ohne es zu wissen. Was das konkret bedeutet und wie Sie prüfen, ob Ihre Website betroffen ist.

SicherheitSSLTLS
Abstraktes Titelbild zum Thema End of Life vs. End of Support vs. End of Maintenance: Die Unterschiede erklärt (KI-generiert)
· 6 Min. Lesezeit

End of Life vs. End of Support vs. End of Maintenance: Die Unterschiede erklärt

End of Life, End of Support, End of Maintenance: Die Begriffe klingen ähnlich, bedeuten aber Verschiedenes. Wer wissen will, wann wirklich kein Patch mehr kommt, braucht diese Unterscheidung. Klar erklärt mit konkreten Praxisbeispielen.

Legacy GrundlagenEnd of LifeSicherheit
Abstraktes Titelbild zum Thema Veraltete Server-Betriebssysteme: Windows Server 2012 & CentOS 7 am Ende (KI-generiert)
· 6 Min. Lesezeit

Windows Server 2012 & CentOS 7: End of Life

Windows Server 2012 end of life trat im Oktober 2023 ein, CentOS 7 folgte im Juni 2024. Was ein veraltetes Server-Betriebssystem konkret bedeutet, welche Risiken entstehen und wie der Umstieg ohne Betriebsunterbrechung gelingt.

Hosting & ServerEnd of LifeSicherheit

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen