software-wartung24.de
· 6 Min. Lesezeit· Sandor Farkas

Veraltetes SSL/TLS: Warum alte Verschlüsselung zum Risiko wird

SicherheitSSLTLSVerschlüsselung
Veraltetes SSL/TLS: Warum alte Verschlüsselung zum Risiko wird

Veraltetes SSL ist eines der häufigsten Sicherheitsprobleme, das bei alten Websites und Webanwendungen auftaucht. TLS 1.0 unsicher zu betreiben klingt abstrakt. Was es konkret bedeutet, spüren Unternehmen erst, wenn ein Browser eine Warnung zeigt oder ein Kunde die Verbindung abbricht.

Dabei ist das Problem bekannt, dokumentiert und behebbar. Dieser Artikel erklärt, was hinter alten SSL/TLS-Versionen steckt und was jetzt zu tun ist.

Was ist SSL/TLS und warum ist die Version wichtig?

SSL steht für "Secure Sockets Layer". TLS steht für "Transport Layer Security". Beides beschreibt Protokolle, die Daten zwischen Browser und Webserver verschlüsseln.

SSL ist der ältere Begriff, der sich umgangssprachlich gehalten hat. Technisch aktuell ist heute TLS. Wenn von "SSL-Zertifikat" die Rede ist, meint man fast immer eine TLS-Verbindung.

Warum ist die Version wichtig? Weil jede neue Version bekannte Schwachstellen der Vorgänger schließt. Ältere Versionen haben dokumentierte Angriffsvektoren. Kryptographische Verfahren, die 2003 als sicher galten, gelten es heute nicht mehr.

Die Versionsgeschichte in Kurzform:

  • SSL 2.0: seit 2011 offiziell abgekündigt
  • SSL 3.0: seit 2015 offiziell abgekündigt
  • TLS 1.0: seit 2021 von den meisten Browsern blockiert
  • TLS 1.1: seit 2021 ebenfalls nicht mehr empfohlen
  • TLS 1.2: weiterhin sicher, wenn korrekt konfiguriert
  • TLS 1.3: aktueller Standard, deutlich sicherer und schneller

Wer heute noch TLS 1.0 oder TLS 1.1 betreibt, läuft auf einer alten Verschlüsselung. Das Risiko ist nicht theoretisch.

Welche Risiken entstehen durch alte Verschlüsselung?

Aktive Angriffe auf bekannte Schwachstellen

TLS 1.0 ist anfällig für konkrete Angriffe. Der bekannteste heißt POODLE (Padding Oracle On Downgraded Legacy Encryption). Dabei zwingt ein Angreifer die Verbindung auf eine schwächere Verschlüsselung und kann Daten mitlesen.

BEAST ist ein weiterer Angriff auf TLS 1.0. Er nutzt eine mathematische Schwäche im Protokoll aus und ermöglicht das Entschlüsseln von Verbindungsdaten.

Diese Angriffe sind kein Laborexperiment. Werkzeuge dafür sind frei verfügbar.

Browser zeigen Warnungen und Kunden springen ab

Aktuelle Browser (Chrome, Firefox, Edge, Safari) blockieren veraltete TLS-Versionen. Wer TLS 1.0 oder 1.1 anbietet, sieht Fehlermeldungen statt Verbindungen.

Das betrifft nicht nur die eigene Website. Auch Webshops, Buchungssysteme, Kundenportale und interne Tools können betroffen sein, wenn Nutzer aktuelle Browser einsetzen.

Das Ergebnis: Kunden sehen eine Fehlermeldung. Sie verlassen die Seite. Umsatz und Vertrauen leiden.

DSGVO-Risiko durch fehlende technische Sicherheit

Die Datenschutz-Grundverordnung verlangt, dass personenbezogene Daten technisch angemessen geschützt werden. "Angemessen" richtet sich nach dem Stand der Technik.

TLS 1.0 ist nicht mehr Stand der Technik. Wer Formulardaten, Login-Informationen oder Bestelldaten über eine veraltete SSL/TLS-Verbindung überträgt, riskiert bei einer Prüfung eine Beanstandung.

Das gilt besonders für Anwendungen, die Kundendaten verarbeiten: Shops, CRMs, HR-Systeme, interne Portale. Mehr dazu lesen Sie in unserem Artikel zu DSGVO und alter Software.

Niedrigere Glaubwürdigkeit bei Sicherheitsprüfungen

Viele Unternehmen werden von Kunden, Versicherungen oder Branchenverbänden nach ihrer IT-Sicherheit befragt. Selbst einfache Scans, wie sie Pentester oder IT-Dienstleister durchführen, melden veraltete TLS-Versionen als "kritische Schwachstelle".

Das belastet die Außendarstellung, auch wenn es intern noch keine Probleme gegeben hat.

Wie erkenne ich, ob meine Website betroffen ist?

Es gibt kostenlose Online-Tools, mit denen Sie die TLS-Konfiguration Ihrer Website prüfen können. Der SSL Labs Test von Qualys ist am bekanntesten. Er gibt eine Bewertung von A+ bis F und zeigt, welche Protokolle aktiv sind.

So gehen Sie vor:

  1. Rufen Sie ssllabs.com/ssltest auf.
  2. Tragen Sie Ihre Domain ein.
  3. Warten Sie auf das Ergebnis.

Eine Bewertung unter B oder ein expliziter Hinweis auf TLS 1.0 oder 1.1 bedeutet: Handlungsbedarf.

Sie können auch das Browser-Entwicklerwerkzeug nutzen. In Chrome: Rechtsklick auf die Seite, "Untersuchen", dann "Sicherheit". Dort sehen Sie die aktive Protokollversion.

Was bedeutet "veraltetes SSL" für Software aus älteren Jahren?

Viele Anwendungen die zwischen 2005 und 2015 entwickelt wurden, haben TLS-Konfigurationen, die damals zeitgemäß waren. Die Einstellungen wurden seitdem nicht angefasst.

Das betrifft nicht nur Webserver. Auch Hintergrundprozesse, API-Verbindungen, automatische Datenübertragungen zwischen Systemen können alte Protokolle nutzen.

Ein weiteres Problem: Manche Legacy-Anwendungen sind so gebaut, dass ein TLS-Upgrade ohne Code-Anpassungen nicht möglich ist. Wenn die Anwendung selbst Verbindungen aufbaut, muss geprüft werden, welche TLS-Versionen sie unterstützt.

Das ist keine Ausnahme. Es ist bei älteren PHP- und Java-Anwendungen ein häufiges Muster. Mehr zu den typischen Sicherheitsproblemen alter Software lesen Sie in unserem Beitrag zu alter Software als Sicherheitsrisiko.

Wie läuft ein TLS-Upgrade ab?

Das Gute: In vielen Fällen ist ein TLS-Upgrade keine aufwändige Entwicklungsarbeit. Es ist eine Konfigurationsänderung auf dem Webserver.

Bei Apache sieht das in der Konfigurationsdatei beispielsweise so aus:

SSLProtocol -all +TLSv1.2 +TLSv1.3

Bei nginx ähnlich:

ssl_protocols TLSv1.2 TLSv1.3;

Dazu kommen Einstellungen für Cipher Suites, also die konkreten Verschlüsselungsalgorithmen. Auch hier empfehlen aktuelle Sicherheitsstandards (BSI, Mozilla) klare Vorgaben.

Was das Upgrade komplex machen kann:

  • Alte Clients, die TLS 1.2 nicht unterstützen (selten, aber existent)
  • Anwendungen, die TLS-Versionen selbst konfigurieren
  • Abhängigkeiten von Drittanbieter-Diensten mit alten Anforderungen
  • Fehlende Zugriffsrechte auf die Serverkonfiguration

Ein sorgfältiger Test nach der Änderung ist wichtig. Nicht alle Verbindungen kommen durch den Browser. Manche APIs oder Hintergrundjobs nutzen eigene Verbindungslogik.

Warum wird das so oft aufgeschoben?

Die ehrliche Antwort: weil nichts sichtbar kaputt ist. Solange Kunden keine Fehlermeldung sehen und das System läuft, entsteht kein Handlungsdruck.

Das ändert sich schlagartig, wenn ein Browser-Update eine TLS-Warnung auslöst, ein Penetrationstester einen Befund liefert oder eine DSGVO-Prüfung unangenehme Fragen aufwirft.

Das Muster kennen wir aus der Software-Wartung generell: Was sich angesammelt hat, wird teurer, je länger man wartet. Nicht dramatisch. Aber stetig.

Was jetzt zu tun ist

Wenn Sie nicht wissen, welche TLS-Version Ihre Website und Ihre Anwendungen nutzen, ist der erste Schritt ein Scan. Der kostenlose SSL-Test von Qualys liefert innerhalb von Minuten eine klare Aussage.

Wenn TLS 1.0 oder 1.1 aktiv ist, brauchen Sie eine Person mit Zugriff auf die Serverkonfiguration. Das ist oft ein Hosting-Anbieter, ein Administrator oder ein externer Dienstleister.

Bei älteren Anwendungen, die selbst Verbindungen aufbauen, braucht es zusätzlich einen Blick in den Code.

Fazit

Veraltetes SSL ist kein Kavaliersdelikt. TLS 1.0 unsicher zu betreiben heißt: bekannte Angriffsvektoren offen zu lassen, Browser-Fehler zu riskieren und DSGVO-Anforderungen zu verletzen.

Die gute Nachricht: Ein TLS-Upgrade ist in vielen Fällen schnell erledigt. Was es braucht, ist der erste Blick auf den Ist-Zustand.

Sprechen Sie uns an. Das Erstgespräch ist kostenlos. Wir prüfen, wo Ihre Anwendung steht, und sagen Ihnen, was konkret zu tun ist.

Weitere Artikel

SSL/TLS im Überblick: Welche Verschlüsselung Ihre Website braucht
· 5 Min. Lesezeit

SSL/TLS im Überblick: Welche Verschlüsselung Ihre Website braucht

SSL, TLS, HTTPS – diese Begriffe meinen fast dasselbe, sind aber leicht zu verwechseln. Dieser SSL-Überblick erklärt klar, was Verschlüsselung im Web leistet und warum jede Website heute HTTPS braucht.

SicherheitHTTPSSSL
CVE-Monitoring: Wie Sie Sicherheitslücken in alter Software früh erkennen
· 6 Min. Lesezeit

CVE-Monitoring: Wie Sie Sicherheitslücken in alter Software früh erkennen

CVE-Monitoring hilft Ihnen, kritische Sicherheitslücken in alter Software rechtzeitig zu erkennen. Dieser Artikel zeigt, wie das Schwachstellen-Monitoring funktioniert und wie Sie auch ohne eigenes Sicherheitsteam auf dem Laufenden bleiben.

SicherheitCVELegacy Software

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen