← Zurück zum Blog Sicherheit

SSL/TLS-Zertifikate erklaert: Was sie sind und warum sie wichtig sind

Envestis Team 12 Min. Lesezeit

Warum SSL/TLS immer noch Probleme verursacht

Man koennte meinen, dass SSL/TLS mittlerweile ein geloestes Problem ist. Jeder Browser zeigt ein Schloss an. Let's Encrypt hat Zertifikate kostenlos gemacht. Hosting-Anbieter bieten HTTPS per Klick an. Und dennoch finden wir jede Woche falsch konfigurierte Zertifikate auf Produktions-Websites. Abgelaufene Zertifikate, unvollstaendige Ketten, Mixed-Content-Warnungen, fehlende HSTS-Header. Das sind keine Einzelfaelle, sondern routinemaessige Fehler, die Vertrauen zerstoeren und Suchmaschinen-Rankings verschlechtern.

Dieser Leitfaden erklaert, wie TLS tatsaechlich funktioniert, was die verschiedenen Zertifikatstypen in der Praxis bedeuten, wie man die Zertifikatsverwaltung automatisiert und welche Fehlkonfigurationen wir bei Sicherheitsaudits fuer Unternehmen in Lugano und der Schweiz am haeufigsten finden.

Kurze Geschichte: SSL, TLS und warum die Namen bestehen bleiben

SSL (Secure Sockets Layer) wurde von Netscape Mitte der 1990er Jahre entwickelt. SSL 2.0 erschien 1995, SSL 3.0 1996. Beide hatten schwerwiegende kryptografische Maengel. TLS (Transport Layer Security) 1.0 ersetzte SSL 3.0 im Jahr 1999, und das Protokoll hat sich durch TLS 1.1 (2006), TLS 1.2 (2008) und TLS 1.3 (2018) weiterentwickelt.

Heute gelten nur TLS 1.2 und TLS 1.3 als sicher. Alle grossen Browser haben die Unterstuetzung fuer TLS 1.0 und 1.1 eingestellt. Trotzdem sagen die Leute weiterhin "SSL-Zertifikat", weil sich der Begriff eingebuergert hat.

Wie der TLS-Handshake funktioniert

Jedes Mal, wenn Ihr Browser eine Verbindung zu einer HTTPS-Website herstellt, findet ein TLS-Handshake statt, bevor Daten ausgetauscht werden.

TLS 1.2 Handshake (vereinfacht)

  1. Client Hello - Der Browser sendet dem Server eine Liste der unterstuetzten Cipher Suites, seine TLS-Version und eine Zufallszahl.
  2. Server Hello - Der Server waehlt eine Cipher Suite aus der Liste des Clients, sendet seine eigene Zufallszahl und sein Zertifikat.
  3. Zertifikatsueberpruefung - Der Browser prueft das Zertifikat gegen seinen vertrauenswuerdigen Zertifizierungsstellen-Speicher (CA-Store).
  4. Schluesselaustausch - Beide Seiten generieren ein gemeinsames Geheimnis (Pre-Master Secret). Bei RSA verschluesselt der Client es mit dem oeffentlichen Schluessel des Servers. Bei Diffie-Hellman (DHE/ECDHE) tragen beide Seiten zur Generierung bei.
  5. Sitzungsschluessel - Beide Seiten leiten symmetrische Sitzungsschluessel ab.
  6. Abschluss - Beide Seiten senden eine verschluesselte "Finished"-Nachricht.

TLS 1.3 Handshake: Schneller und einfacher

TLS 1.3 reduziert dies auf einen einzigen Round-Trip (1-RTT). Es entfernt veraltete Cipher Suites, erzwingt Forward Secrecy und kombiniert Schritte.

Eigenschaft TLS 1.2 TLS 1.3
Handshake Round-Trips 2-RTT 1-RTT (0-RTT Wiederaufnahme)
Forward Secrecy Optional Pflicht
RSA-Schluesselaustausch Unterstuetzt Entfernt
Cipher Suites 37+ 5
Bekannte Schwachstellen BEAST, POODLE (abgemildert) Keine derzeit

Zertifikatstypen: DV, OV und EV

Domain Validated (DV) Zertifikate

DV-Zertifikate beweisen, dass Sie die Domain kontrollieren. Die CA verifiziert dies durch eine von drei Methoden: Platzierung einer bestimmten Datei auf Ihrem Webserver, Hinzufuegen eines DNS-TXT-Eintrags oder Antwort auf eine E-Mail an eine Admin-Adresse der Domain.

Kosten: Kostenlos (Let's Encrypt, ZeroSSL) bis ca. 10 CHF/Jahr

Geeignet fuer: Blogs, persoenliche Seiten, KMU-Websites, die meisten Webanwendungen

Organization Validated (OV) Zertifikate

OV-Zertifikate erfordern, dass die CA die Existenz der Organisation hinter der Domain verifiziert.

Kosten: 50-200 CHF/Jahr

Extended Validation (EV) Zertifikate

EV-Zertifikate erfordern die strengste Validierung: rechtliche Existenz, operative Existenz, physische Adresse und Befugnis des Antragstellers.

Kosten: 100-500+ CHF/Jahr

Historischer Kontext: EV-Zertifikate zeigten frueher den Firmennamen in einer gruenen Adressleiste. Alle grossen Browser haben diese visuelle Unterscheidung zwischen 2019 und 2020 entfernt.

Let's Encrypt und das ACME-Protokoll

Let's Encrypt wurde 2016 gestartet und hat die Zertifikatslandschaft grundlegend veraendert. Es bietet kostenlose DV-Zertifikate ueber das ACME-Protokoll, das den gesamten Ausstellungs- und Erneuerungsprozess automatisiert.

Automatisierungstools

  • Certbot - Der Original-ACME-Client. Funktioniert mit Apache und Nginx.
  • acme.sh - Ein Shell-Script-basierter ACME-Client. Leichtgewichtig, keine Abhaengigkeiten.
  • Caddy - Ein Webserver mit eingebautem automatischem HTTPS.
  • Traefik - Ein Reverse Proxy, der Let's Encrypt-Zertifikate automatisch fuer containerisierte Anwendungen verwaltet.

Wir haben erlebt, wie Unternehmen in Lugano ganze Tage an Web-Traffic verloren haben, weil ein Let's Encrypt-Erneuerungs-Cronjob still fehlschlug. Automatisierung funktioniert nur, wenn man sie ueberwacht.

Haeufige Fehlkonfigurationen

Bei unseren Sicherheitsbewertungen von Webseiten fuer Kunden gehoeren Zertifikatsprobleme zu den haeufigsten Befunden.

1. Mixed Content

Dies tritt auf, wenn eine Seite ueber HTTPS ausgeliefert wird, aber einige Ressourcen (Bilder, Skripte, Stylesheets) ueber HTTP laedt.

2. Abgelaufene Zertifikate

Ein abgelaufenes Zertifikat fuehrt dazu, dass Browser eine ganzseitige Warnung anzeigen. Die meisten Benutzer werden nicht weiterklicken. Ihre Website ist praktisch offline.

3. Unvollstaendige Zertifikatskette

Ihr Server muss die vollstaendige Kette senden: Ihr Zertifikat plus alle Zwischenzertifikate. Wenn ein Zwischenzertifikat fehlt, scheitert die Validierung auf einigen Geraeten.

4. Falsche Domain / SAN-Nichtubereinstimmung

Der Common Name oder die Subject Alternative Names (SAN) des Zertifikats muessen mit der besuchten Domain uebereinstimmen.

5. Verwendung von TLS 1.0 oder 1.1

Einige Server haben TLS 1.0 oder 1.1 noch fuer "Kompatibilitaet" aktiviert. Deaktivieren Sie sie.

6. Schwache Cipher Suites

Moderne Konfigurationen sollten nur AEAD-Chiffren (AES-GCM, ChaCha20-Poly1305) mit Forward Secrecy unterstuetzen.

HSTS: HTTP Strict Transport Security

Selbst bei perfekt konfiguriertem HTTPS wird ein Benutzer, der example.com eingibt, zunaechst eine HTTP-Anfrage stellen. Diese erste Anfrage ist unverschluesselt und anfaellig fuer SSL-Stripping-Angriffe.

HSTS loest dieses Problem:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Fuer einen tieferen Einblick in HSTS und andere Sicherheits-Header lesen Sie unseren vollstaendigen Leitfaden zu Sicherheits-Headern.

SSL/TLS und SEO

Google hat HTTPS 2014 als Ranking-Signal bestaetigt. Hier ist, was wir bei der Arbeit mit Kunden zur Webseite Sicherheit in Lugano und der Schweiz beobachtet haben:

  • Vertrauenssignale zaehlen. Eine "Nicht sicher"-Warnung erhoeht die Absprungrate.
  • HTTPS ist Voraussetzung fuer HTTP/2 und HTTP/3. Diese Protokolle bieten erhebliche Leistungsverbesserungen.
  • Einige Browser-APIs erfordern einen sicheren Kontext. Geolocation, Service Worker, Push-Benachrichtigungen.
  • Referrer-Daten gehen verloren. Traffic von einer HTTPS-Seite zu einer HTTP-Seite verliert den Referrer-Header.

Certificate Transparency

Certificate Transparency (CT) ist ein oeffentliches Protokollierungssystem, in dem CAs jedes ausgestellte Zertifikat aufzeichnen muessen.

  • crt.sh - Eine kostenlose Suchmaschine fuer CT-Logs.
  • Facebook CT Monitoring - Sendet Benachrichtigungen bei neuen Zertifikaten fuer Ihre Domain.
  • Certspotter - Ein Ueberwachungstool, das ueber neue Zertifikate in CT-Logs informiert.

Praktische Empfehlungen

  1. Verwenden Sie TLS 1.2 als Minimum. Deaktivieren Sie TLS 1.0 und 1.1. Bevorzugen Sie TLS 1.3.
  2. Automatisieren Sie die Zertifikatsverwaltung. Let's Encrypt mit Certbot oder ein Anbieter, der Zertifikate automatisch verwaltet.
  3. Ueberwachen Sie den Zertifikatsablauf. Richten Sie Warnungen ein.
  4. Aktivieren Sie HSTS. Beginnen Sie mit einem kurzen max-age, testen Sie gruendlich, dann erhoehen Sie auf ein Jahr.
  5. Pruefen Sie Ihre Zertifikatskette. Verwenden Sie SSL Labs.
  6. Beseitigen Sie Mixed Content. Pruefen Sie jede Seite.
  7. Ueberwachen Sie CT-Logs.
  8. Verwenden Sie starke Cipher Suites.

Fazit

SSL/TLS-Zertifikate sind eine grundlegende Schicht der Web-Sicherheit. Sie richtig zu konfigurieren ist nicht schwierig, erfordert aber Aufmerksamkeit fuer Details, die leicht uebersehen werden.

Wenn Sie sich bei Ihrer aktuellen Konfiguration unsicher sind, testen Sie Ihre Domain auf SSL Labs. Wenn die Note unter A liegt, gibt es Handlungsbedarf.

Brauchen Sie Hilfe bei der Absicherung Ihrer Website oder wuenschen eine professionelle Sicherheitsbewertung? Kontaktieren Sie unser Team in Lugano. Wir helfen Unternehmen in der ganzen Schweiz mit Webseite Sicherheit, von der Zertifikatskonfiguration bis hin zu vollstaendigen Sicherheitsaudits.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt