TLS 1.3: Warum veraltete Verschlüsselung Ihre Website und Ihre Nutzer gefährdet
Ihre Website hat ein Schloss an der Tür: die TLS-Verschlüsselung. TLS steht für Transport Layer Security. Dieses Protokoll schützt alle Daten zwischen Browser und Server. Passwörter, Formulare, Bestellungen: alles läuft durch diesen Kanal.
Das Problem: Viele ältere Systeme nutzen noch TLS 1.0 oder 1.1. Beide Versionen sind seit 2021 offiziell abgekündigt. Sie gelten als unsicher. Wer sie einsetzt, gefährdet Nutzerdaten und die eigene DSGVO-Konformität.
Dieser Artikel erklärt, was dahinter steckt. Und wie die Umstellung auf TLS 1.3 gelingt.
Was ist TLS? Und was hat SSL damit zu tun?
TLS regelt zwei Dinge. Erstens: Der Browser prüft, ob er wirklich mit Ihrem Server spricht. Zweitens: Alle übertragenen Daten werden verschlüsselt. Niemand kann unterwegs mitlesen.
Der Vorgänger von TLS hieß SSL, Secure Sockets Layer. SSL wurde seit den Neunzigern mehrfach abgelöst. Der Begriff hat sich trotzdem gehalten. Wenn heute jemand von einem SSL-Zertifikat spricht, meint er technisch ein TLS-Zertifikat. Der Unterschied zwischen SSL und TLS ist also vor allem historisch. Eine ausführliche Einordnung finden Sie in unserem Überblick zu SSL und TLS.
Wichtig ist etwas anderes: die Version. TLS gibt es in den Versionen 1.0, 1.1, 1.2 und 1.3. Und genau hier trennt sich sicher von unsicher.
Warum TLS 1.0 und 1.1 ausgedient haben
TLS 1.0 stammt aus dem Jahr 1999. TLS 1.1 aus dem Jahr 2006. Beide nutzen Verschlüsselungsverfahren, die heute als gebrochen gelten. Angriffe darauf sind dokumentiert und öffentlich verfügbar.
Deshalb wurden beide Versionen im März 2021 offiziell für veraltet erklärt. Die großen Browser hatten den Support schon 2020 beendet. TLS 1.0 und 1.1 haben damit ihr End of Life erreicht. Es gibt keinen Grund mehr, sie einzusetzen.
Der aktuelle Stand sieht so aus:
- TLS 1.0 und 1.1: abgekündigt, unsicher, abschalten
- TLS 1.2: aus 2008, weiterhin akzeptabel bei korrekter Konfiguration
- TLS 1.3: aus 2018, der aktuelle Standard, schneller und sicherer
TLS 1.3 hat gegenüber den Vorgängern aufgeräumt. Alle bekannten unsicheren Verfahren wurden entfernt. Der Verbindungsaufbau ist zudem schneller. Ihre Website profitiert doppelt: mehr Sicherheit, bessere Ladezeit.
Was passiert, wenn Sie nichts tun?
Daten lassen sich mitlesen
Eine schwache TLS-Verschlüsselung ist wie ein Schloss mit bekanntem Trick. Von außen wirkt es stabil. Wer den Trick kennt, öffnet es trotzdem. Bei TLS 1.0 und 1.1 sind diese Tricks seit Jahren dokumentiert. Angreifer können übertragene Daten unter bestimmten Bedingungen entschlüsseln. Betroffen sind dann Passwörter, Kundendaten und Zahlungsinformationen.
Browser warnen Ihre Besucher
Chrome, Firefox, Edge und Safari unterstützen TLS 1.0 und 1.1 nicht mehr. Besucher sehen eine Fehlermeldung statt Ihrer Website. Das kostet Vertrauen und Umsatz. Wie es älteren Websites ohne saubere Verschlüsselung ergeht, zeigt unser Artikel über HTTPS für ältere Websites.
DSGVO verlangt Stand der Technik
Die Datenschutz-Grundverordnung verpflichtet Sie, personenbezogene Daten angemessen zu schützen. Der Maßstab dafür ist der Stand der Technik. TLS 1.0 und 1.1 erfüllen diesen Maßstab nicht mehr. Kommt es zu einem Vorfall, fragt die Aufsichtsbehörde genau danach. Eine gute Antwort gibt es dann nicht.
Schnittstellen und Zahlungsdienste streiken
Auch Maschinen reden über TLS miteinander. Zahlungsdienstleister verlangen seit 2018 mindestens TLS 1.2. Moderne Schnittstellen von Banken, Versanddiensten und Buchhaltungstools ebenfalls. Ein System mit alter TLS-Konfiguration verliert nach und nach seine Verbindungen. Oft merkt man es erst, wenn eine Schnittstelle plötzlich ausfällt.
So finden Sie heraus, welche TLS-Version läuft
Die gute Nachricht: Die Prüfung dauert fünf Minuten. Kostenlose Dienste wie der SSL Server Test von Qualys analysieren Ihre Domain. Sie sehen sofort, welche TLS-Versionen Ihr Server anbietet. Und welche Note die Konfiguration insgesamt bekommt.
Taucht dort TLS 1.0 oder 1.1 auf, besteht Handlungsbedarf. Fehlt TLS 1.3, lohnt sich die Umstellung ebenfalls. Warum veraltete Protokolle ein konkretes Risiko sind, vertieft unser Beitrag über veraltete SSL- und TLS-Versionen.
So gelingt die Umstellung auf TLS 1.3
Die Umstellung ist in den meisten Fällen überschaubar. Sie besteht aus vier Schritten.
Schritt 1: Bestandsaufnahme. Wo wird die Verschlüsselung technisch abgewickelt? Direkt am Webserver, am Load Balancer oder an einem vorgeschalteten Proxy? Diese Stelle müssen Sie kennen, bevor Sie etwas ändern.
Schritt 2: Software prüfen. TLS 1.3 braucht eine aktuelle Verschlüsselungsbibliothek, meist OpenSSL ab Version 1.1.1. Sehr alte Server bringen die nicht mit. Dann muss zuerst das Betriebssystem oder der Webserver aktualisiert werden. Hier zeigt sich, was sich über die Jahre angesammelt hat. Die TLS-Frage hängt deshalb oft mit dem Zustand der gesamten Anwendung zusammen. Mehr dazu in unserem Artikel über alte Software als Sicherheitsrisiko.
Schritt 3: Konfiguration anpassen. In Apache oder Nginx sind es wenige Zeilen. TLS 1.2 und 1.3 aktivieren, TLS 1.0 und 1.1 abschalten, schwache Verfahren entfernen. Wichtig: erst auf einer Testumgebung prüfen, dann live schalten.
Schritt 4: Prüfen und dokumentieren. Nach der Umstellung den SSL-Test erneut laufen lassen. Das Ergebnis gehört in Ihre Dokumentation. Bei der nächsten Datenschutz-Anfrage haben Sie damit einen Nachweis.
Ein Sonderfall sind sehr alte Anwendungen oder Geräte, die selbst nur TLS 1.0 sprechen. Etwa alte Warenwirtschaftssysteme oder fest verbaute Schnittstellen-Clients. Hier hilft ein vorgeschalteter Proxy, der die moderne Verschlüsselung übernimmt. Das ist keine Dauerlösung, aber ein sicherer Zwischenschritt.
Fazit: Kleine Umstellung, große Wirkung
Veraltete TLS-Verschlüsselung ist ein stilles Risiko. Die Website läuft, niemand beschwert sich, alles wirkt normal. Bis ein Browser blockiert, eine Schnittstelle ausfällt oder Daten abfließen.
Die Umstellung auf TLS 1.2 und 1.3 gehört zu den günstigsten Sicherheitsmaßnahmen überhaupt. Wenige Stunden Aufwand, dauerhafter Schutz. Und ein Nachweis, dass Ihre Systeme dem Stand der Technik entsprechen.
Sie wissen nicht, welche TLS-Versionen Ihre Systeme anbieten? Wir prüfen das im Rahmen eines Sicherheits-Audits und setzen die Umstellung direkt um. Sprechen Sie uns an. Das Erstgespräch ist kostenlos.


