Was ist TLS/SSL?
TLS (Transport Layer Security) ist ein kryptografisches Protokoll, das Privatsphäre, Datenintegrität und Authentifizierung für die Kommunikation zwischen zwei Parteien über ein Netzwerk bietet. SSL (Secure Sockets Layer) ist sein veralteter Vorgänger; moderne Verweise auf „SSL" meinen fast immer TLS.
Auch bekannt als: TLS, SSL, Transport Layer Security, Secure Sockets Layer, HTTPS
TLS ist das Protokoll hinter HTTPS und das am weitesten verbreitete Sicherheitsprotokoll im Internet. Ein TLS-Handshake etabliert einen sicheren Kanal in mehreren Schritten: Client und Server einigen sich auf eine Protokollversion und eine Cipher-Suite, der Server präsentiert sein Zertifikat (verifiziert über PKI), sie führen einen Schlüsselaustausch durch, um gemeinsame Sitzungsschlüssel abzuleiten, und die gesamte nachfolgende Kommunikation wird mit diesen symmetrischen Schlüsseln verschlüsselt. Modernes TLS 1.3 hat das auf einen einzigen Roundtrip vereinfacht.
Die Sicherheitseigenschaften, die TLS bietet, sind Vertraulichkeit (Verschlüsselung verhindert unbefugtes Abhören), Integrität (Message Authentication Codes erkennen Manipulationen) und Authentifizierung (Zertifikate verifizieren die Server-Identität und optional die Client-Identität). Ohne TLS sind Daten im Netzwerk für jeden sichtbar, der den Datenverkehr beobachten kann: Internetanbieter, WLAN-Betreiber, Netzwerkadministratoren und Angreifer, die Man-in-the-Middle-Angriffe durchführen.
SSL (Versionen 1.0 bis 3.0) ist aufgrund bekannter Schwachstellen wie POODLE und BEAST veraltet. TLS 1.0 und 1.1 sind ebenfalls veraltet. TLS 1.2 ist noch weit verbreitet kompatibel, und TLS 1.3 (veröffentlicht 2018) ist der aktuelle Standard, der höhere Sicherheit und bessere Performance durch Eliminierung veralteter Cipher-Suites und reduzierte Handshake-Latenz bietet. Trotz seiner Veralterung bleibt „SSL" ein umgangssprachlicher Begriff: „SSL-Zertifikat" und „SSL-Terminierung" meinen in der Praxis oft TLS.
Wie Vaulted TLS/SSL verwendet
Vaulted liefert den gesamten Datenverkehr über HTTPS aus, was bedeutet, dass jede Anfrage zwischen deinem Browser und dem Server durch TLS geschützt ist. Das verschlüsselt den Geheimtext und die Metadaten beim Transport und authentifiziert, dass du mit dem echten Vaulted-Server kommunizierst. TLS allein würde deine Geheimnisse jedoch nicht schützen, wenn der Server sie lesen könnte. Vaulted ergänzt den TLS-Transportkanal um clientseitige AES-256-GCM-Verschlüsselung, sodass der Server nur Geheimtext erhält, den er nicht entschlüsseln kann: TLS schützt den Transportkanal, während die clientseitige Verschlüsselung die Daten selbst schützt.