Definition Transport Layer Security (TLS)

Was ist TLS (Transport Layer Security)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

TLS (Transport Layer Security) ist der Nachfolger von SSL (Secure Sockets Layer) und dient der verschlüsselten Übertragung von Daten über das Internet oder andere Netze.
TLS (Transport Layer Security) ist der Nachfolger von SSL (Secure Sockets Layer) und dient der verschlüsselten Übertragung von Daten über das Internet oder andere Netze. (Bild: Pixabay / CC0)

Bei der Transport Layer Security (TLS) handelt es sich um ein Protokoll der Schicht 5 des ISO/OSI-Schichtenmodells, das für eine verschlüsselte Übertragung von Daten im Internet sorgt. TLS ist der Nachfolger von SSL und wird beispielsweise von Browsern für sichere HTTPS-Verbindungen verwendet.

Die Abkürzung TLS steht für Transport Layer Security und bezeichnet das Nachfolgeprotokoll von SSL (Secure Sockets Layer). Mit Hilfe von Transport Layer Security lassen sich Daten verschlüsselt über das Internet oder andere Netzwerke übertragen. Es handelt sich um ein hybrides Verschlüsselungsprotokoll (Kombination aus asymmetrischer und symmetrischer Verschlüsselung), das folgende Ziele verfolgt. Die übertragenen Daten sollen durch die Verschlüsselung vor dem unbefugten Zugriff Dritter und vor Manipulation oder Fälschung geschützt werden. Zusätzlich ermöglicht TLS die Authentifizierung der Kommunikationsteilnehmer und das Überprüfen von Identitäten von Empfänger oder Sender. Häufig kommt TLS für die gesicherte Verbindung zwischen einem Client mit Internetbrowser und einem Webserver per HTTPS zum Einsatz. Aber auch andere Protokolle wie SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol) oder FTP (File Transfer Protokoll) können Transport Layer Security nutzen.

Die Kommunikation per TLS lässt sich in zwei Phasen unterteilen. Zuerst findet der Aufbau einer Verbindung statt, bei der Client und Server gegenseitig ihre Identität nachweisen. Ist eine vertrauenswürdige Verbindung aufgebaut, erfolgt die Übertragung der Daten unter Verwendung eines Verschlüsselungsalgorithmus. Im ISO/OSI-Schichtenmodell ist Transport Layer Security auf dem Layer 5 (Sitzungsschicht - Session Layer) angesiedelt. Dank seiner transparenten Arbeitsweise für die Protokolle höherer Ebenen ist TLS sehr flexibel und vielseitig einsetzbar. Bekannte Implementierungen von TLS sind beispielsweise GnuTLS, OpenSSL oder LibreSSL.

Das TLS Record Protocol

Für die Transport Layer Security spielt das so genannte Transport Layer Security Record Protocol eine zentrale Rolle. Vier weitere Protokolle des Standards bauen auf diesem auf. Diese vier Protokolle sind:

  • das Handshake Protocol
  • das Alert Protocol
  • das Change Cipher Spec Protocol
  • das Application Data Protocol

Das Handshake Protocol ist für die Aushandlung einer Sitzung und ihrer Sicherheitsparameter verantwortlich. Unter anderem werden innerhalb des Handshake Protocols die verwendeten kryptographischen Algorithmen und das Schlüsselmaterial ausgehandelt sowie die Kommunikationspartner authentifiziert. Das Alert Protocol ist für die Fehler- und Alarmbehandlung von TLS-Verbindungen zuständig. Es kann das sofortige Abbrechen einer Verbindung veranlassen. Mit Hilfe des Application Data Protocols werden die Anwendungsdaten in Blöcke zerlegt, komprimiert, verschlüsselt und übertragen. Das Change Cipher Spec Protocol schließlich teilt dem Empfänger mit, dass der Sender auf die zuvor im Handshake Protocol ausgehandelte Cipher Suite wechselt.

Der Verbindungsaufbau bei Transport Layer Security

Baut ein Client eine Verbindung zu einem Server auf, authentifiziert sich der Server mit einem Zertifikat. Der Client überprüft die Vertrauenswürdigkeit des Zertifikats und dessen Übereinstimmung mit dem Servernamen. Optional ist die Authentifizierung des Clients gegenüber dem Server möglich. In einem nächsten Schritt leiten die Kommunikationspartner unter Zuhilfenahme des öffentlichen Schlüssels des Servers einen kryptographischen Sitzungsschlüssel ab, mit dem sie anschließend sämtliche zu übertragenen Nachrichten verschlüsseln. Die Authentifizierung und Identifikation der Kommunikationspartner basieren also auf asymmetrischen Verschlüsselungsverfahren und der Public-Key-Kryptografie. Der eigentliche Sitzungsschlüssel ist ein einmalig nutzbarer symmetrischer Schlüssel, mit dem die Daten sowohl entschlüsselt als auch verschlüsselt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Wie Zero Trust traditionelle VPN-Strategien verdrängt

Zero Trust Network Access: Mikrosegmentierung auf Anwendungsebene

Wie Zero Trust traditionelle VPN-Strategien verdrängt

Das Zero Trust-Modell wurde entwickelt, weil die Unterschiede zwischen „externen“ und „internen“ Bereichen der IT-Systeme immer mehr verschwimmen. Mitarbeiter werden zunehmend mobil und befinden sich mit ihren Geräten sowohl innerhalb als auch außerhalb des Firmennetzes. Der vertrauensbasierte Umgang mit Mitarbeitern und Geräten wird so immer schwerer umzusetzen. lesen

Was ist ein TLSA-Record?

Definition TLSA-Record

Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt. lesen

59 Sicherheitslücken werden von Microsoft geschlossen

Microsoft Patchday Oktober 2019

59 Sicherheitslücken werden von Microsoft geschlossen

Am Patchday Oktober 2019 stellt Microsoft verschiedene Updates für Windows-Betriebssysteme zur Verfügung, die insgesamt 59 CVEs betreffen. Neben Updates für Windows werden auch Lücken in Microsoft SQL Server und Office geschlossen. lesen

8 Tipps für DevSecOps und Continuous Testing

Sichere Web-Applikationen trotz agiler Entwicklung

8 Tipps für DevSecOps und Continuous Testing

Das Tempo und die Agilität, die mit DevOps einhergehen, können sich nachteilig auf die Sicherheit auswirken. Eine Abhilfe verspricht DevSecOps durch die Integration kontinuierlicher Sicherheitsprozesse. Janosch Maier, Co-Founder von Crashtest-Security, hat acht Tipps für entsprechende Strategien parat. lesen

E-Mails vor Lauschangriffen und Manipulation schützen

Neuer Verschlüsselungsstandard MTA-STS

E-Mails vor Lauschangriffen und Manipulation schützen

Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen. MTA-STS hat zum Ziel, die E-Mail-Kommunikation gegen Lauschangriffe und Manipulation abzusichern. lesen

Pflegeanleitung für sichere Software

Sichere Softwareentwicklung – Teil 2

Pflegeanleitung für sichere Software

Will man eine Software auch sicher machen bedeutet das viel Arbeit. Es gilt Schwachstellen zu verhindern und von Beginn an einen sorg­samen Umgang mit Daten zu pflegen. Dazu gehört die Trennung von Datenverarbeitung und ihrer Darstellung ebenso wie eine konsequente Validierung von Ein- und Ausgangsdaten. Dann braucht es nur noch sichere Übertragungswege und regelmäßige Prüfroutinen. Oder fehlt da noch was? lesen

Digitale Zertifikate sind heiße Ware im Darknet

Maschinenidentitäten besser schützen

Digitale Zertifikate sind heiße Ware im Darknet

Dass das Darknet von Cyberkriminellen für ihre florierenden Geschäfte mit Ransomware oder gestohlenen digitalen Identitäten genutzt wird, ist bekannt. Noch mehr Bedeutung haben jedoch Maschinenidentitäten wie TLS- und andere digitale Zertifikate gewonnen. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. lesen

Grundsätze für sichere Softwareentwicklung

Sichere Softwareentwicklung – Teil 1

Grundsätze für sichere Softwareentwicklung

Viele Onlinedienste und Websites sind anfällig für Angriffe. Die Entwicklung moderner Software für Webanwendungen ist heutzutage so komplex, dass Fehler trotz intensiver Prüfung nicht oder nur schwer erkennbar sind. Das demonstrierte auch die Heartbleed-Schwachstelle in der Open-Source-Bibliothek OpenSSL eindrucksvoll. Wir zeigen die gängigen Herausforderungen, mit denen Entwickler konfrontiert sind und wie man sie bewältigt. lesen

Sicherheit und Datenschutz in Office 365

MS-Office aus der Cloud

Sicherheit und Datenschutz in Office 365

Nicht an einfachen Zugriff, wegfallende Wartung oder gebrauchsabhängige Abrechnung denken Anwender zunächst, wenn es um Cloud-Dienste geht. Sondern an Sicherheit und Datenschutz respektive deren Gefährdung oder Nichtein­haltung. In jüngster Zeit wurden durch Presse­berichte starke Zweifel an Datenschutz und Security bei der Cloud-Variante Office 365 geäußert. Was ist an den Berichten dran? lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45060544 / Definitionen)