Definition Transport Layer Security (TLS)

Was ist TLS (Transport Layer Security)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

TLS (Transport Layer Security) ist der Nachfolger von SSL (Secure Sockets Layer) und dient der verschlüsselten Übertragung von Daten über das Internet oder andere Netze.
TLS (Transport Layer Security) ist der Nachfolger von SSL (Secure Sockets Layer) und dient der verschlüsselten Übertragung von Daten über das Internet oder andere Netze. (Bild: Pixabay / CC0)

Bei der Transport Layer Security (TLS) handelt es sich um ein Protokoll der Schicht 5 des ISO/OSI-Schichtenmodells, das für eine verschlüsselte Übertragung von Daten im Internet sorgt. TLS ist der Nachfolger von SSL und wird beispielsweise von Browsern für sichere HTTPS-Verbindungen verwendet.

Die Abkürzung TLS steht für Transport Layer Security und bezeichnet das Nachfolgeprotokoll von SSL (Secure Sockets Layer). Mit Hilfe von Transport Layer Security lassen sich Daten verschlüsselt über das Internet oder andere Netzwerke übertragen. Es handelt sich um ein hybrides Verschlüsselungsprotokoll (Kombination aus asymmetrischer und symmetrischer Verschlüsselung), das folgende Ziele verfolgt. Die übertragenen Daten sollen durch die Verschlüsselung vor dem unbefugten Zugriff Dritter und vor Manipulation oder Fälschung geschützt werden. Zusätzlich ermöglicht TLS die Authentifizierung der Kommunikationsteilnehmer und das Überprüfen von Identitäten von Empfänger oder Sender. Häufig kommt TLS für die gesicherte Verbindung zwischen einem Client mit Internetbrowser und einem Webserver per HTTPS zum Einsatz. Aber auch andere Protokolle wie SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol) oder FTP (File Transfer Protokoll) können Transport Layer Security nutzen.

Die Kommunikation per TLS lässt sich in zwei Phasen unterteilen. Zuerst findet der Aufbau einer Verbindung statt, bei der Client und Server gegenseitig ihre Identität nachweisen. Ist eine vertrauenswürdige Verbindung aufgebaut, erfolgt die Übertragung der Daten unter Verwendung eines Verschlüsselungsalgorithmus. Im ISO/OSI-Schichtenmodell ist Transport Layer Security auf dem Layer 5 (Sitzungsschicht - Session Layer) angesiedelt. Dank seiner transparenten Arbeitsweise für die Protokolle höherer Ebenen ist TLS sehr flexibel und vielseitig einsetzbar. Bekannte Implementierungen von TLS sind beispielsweise GnuTLS, OpenSSL oder LibreSSL.

Das TLS Record Protocol

Für die Transport Layer Security spielt das so genannte Transport Layer Security Record Protocol eine zentrale Rolle. Vier weitere Protokolle des Standards bauen auf diesem auf. Diese vier Protokolle sind:

  • das Handshake Protocol
  • das Alert Protocol
  • das Change Cipher Spec Protocol
  • das Application Data Protocol

Das Handshake Protocol ist für die Aushandlung einer Sitzung und ihrer Sicherheitsparameter verantwortlich. Unter anderem werden innerhalb des Handshake Protocols die verwendeten kryptographischen Algorithmen und das Schlüsselmaterial ausgehandelt sowie die Kommunikationspartner authentifiziert. Das Alert Protocol ist für die Fehler- und Alarmbehandlung von TLS-Verbindungen zuständig. Es kann das sofortige Abbrechen einer Verbindung veranlassen. Mit Hilfe des Application Data Protocols werden die Anwendungsdaten in Blöcke zerlegt, komprimiert, verschlüsselt und übertragen. Das Change Cipher Spec Protocol schließlich teilt dem Empfänger mit, dass der Sender auf die zuvor im Handshake Protocol ausgehandelte Cipher Suite wechselt.

Der Verbindungsaufbau bei Transport Layer Security

Baut ein Client eine Verbindung zu einem Server auf, authentifiziert sich der Server mit einem Zertifikat. Der Client überprüft die Vertrauenswürdigkeit des Zertifikats und dessen Übereinstimmung mit dem Servernamen. Optional ist die Authentifizierung des Clients gegenüber dem Server möglich. In einem nächsten Schritt leiten die Kommunikationspartner unter Zuhilfenahme des öffentlichen Schlüssels des Servers einen kryptographischen Sitzungsschlüssel ab, mit dem sie anschließend sämtliche zu übertragenen Nachrichten verschlüsseln. Die Authentifizierung und Identifikation der Kommunikationspartner basieren also auf asymmetrischen Verschlüsselungsverfahren und der Public-Key-Kryptografie. Der eigentliche Sitzungsschlüssel ist ein einmalig nutzbarer symmetrischer Schlüssel, mit dem die Daten sowohl entschlüsselt als auch verschlüsselt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Digitale Zertifikate sind heiße Ware im Darknet

Maschinenidentitäten besser schützen

Digitale Zertifikate sind heiße Ware im Darknet

Dass das Darknet von Cyberkriminellen für ihre florierenden Geschäfte mit Ransomware oder gestohlenen digitalen Identitäten genutzt wird, ist bekannt. Noch mehr Bedeutung haben jedoch Maschinenidentitäten wie TLS- und andere digitale Zertifikate gewonnen. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam. lesen

Grundsätze für sichere Softwareentwicklung

Sichere Softwareentwicklung – Teil 1

Grundsätze für sichere Softwareentwicklung

Viele Onlinedienste und Websites sind anfällig für Angriffe. Die Entwicklung moderner Software für Webanwendungen ist heutzutage so komplex, dass Fehler trotz intensiver Prüfung nicht oder nur schwer erkennbar sind. Das demonstrierte auch die Heartbleed-Schwachstelle in der Open-Source-Bibliothek OpenSSL eindrucksvoll. Wir zeigen die gängigen Herausforderungen, mit denen Entwickler konfrontiert sind und wie man sie bewältigt. lesen

Sicherheit und Datenschutz in Office 365

MS-Office aus der Cloud

Sicherheit und Datenschutz in Office 365

Nicht an einfachen Zugriff, wegfallende Wartung oder gebrauchsabhängige Abrechnung denken Anwender zunächst, wenn es um Cloud-Dienste geht. Sondern an Sicherheit und Datenschutz respektive deren Gefährdung oder Nichtein­haltung. In jüngster Zeit wurden durch Presse­berichte starke Zweifel an Datenschutz und Security bei der Cloud-Variante Office 365 geäußert. Was ist an den Berichten dran? lesen

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

Was ist DANE?

Definition DNS-based Authentication of Named Entities (DANE)

Was ist DANE?

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge. lesen

Neue Herausforderungen in der Cybersecurity

Nachhaltige IT-Sicherheit

Neue Herausforderungen in der Cybersecurity

Kontinuierlich und nahezu täglich steigen die Herausforderungen, die es hinsichtlich Cybersecurity zu meistern gilt. Immer vielfältiger und teurer werden die Angriffe. Wollen Unternehmen in Zukunft erfolgreich sein, müssen sie eine nachhaltige Sicherheits­strategie verfolgen. Es gibt keine einzige Technologie oder Dienstleistung, die Cyber-Angriffe bekämpfen kann. lesen

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Internet-Sicherheit

VPN-Verschlüsselung ist nicht für alle Szenarien sinnvoll

Datenschutzskandale, Sicherheitslücken, Hacking und diverse Szenarien der Massenüberwachung haben dazu geführt, dass sich Nutzer um ihre Privatsphäre im Internet sorgen. Oft greifen sie dann zu VPN-Diensten, die aber nicht immer sinnvoll sind. lesen

Handel im Darknet mit gestohlenen TLS-Zertifikaten

Maschinenidentitäten sind das neue Gold

Handel im Darknet mit gestohlenen TLS-Zertifikaten

Cyberkriminelle nutzen das Darknet um florierende Geschäfte zu betreiben. Wie eine aktuelle Untersuchung nun zeigt, werden Maschinenidentitäten im Darknet als wichtiger eingestuft als Ransomware oder gestohlene digitale Identitäten bestehend aus Name und Passwort. Sie werden zu höheren Preisen verkauft und das Angebot ist größer, weil es eine entsprechende Nachfrage gibt. lesen

Der Zertifikatmarkt im Wandel

Zertifikatanbieter Digicert expandiert

Der Zertifikatmarkt im Wandel

Der TLS- und SSL-Zertifikatanbieter Digicert beschleunigt nach Abschluss der Integration von Verisign die Gangart: Auf dem Programm stehen die europäische Expansion sowie Investitionen in Forschung und Entwicklung. Speziell quantensichere Algorithmen und neue Authentisierungs­mechanismen sind wichtige Forschungs­schwerpunkte für das wachsende Unternehmen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45060544 / Definitionen)