Der feine Unterschied zwischen TLS/SSL und HTTPS

Sichere Kommunikation Der feine Unterschied zwischen TLS/SSL und HTTPS

08.01.2024 Ein Gastbeitrag von Jens Sabitzer 6 min Lesedauer

Anbieter zum Thema

TLS/SSL und HTTPS sind ungleiche Brüder. Das gilt nicht zuletzt auch für deren Sicherheit. Vielfach aber wird diese vernachlässigt, wenn sich Security Administratoren darauf verlassen, dass die Verschlüsselung sicher ist. Aktuelle Entwicklungen bei führenden Browser-Anbietern lassen jedoch Zweifel an dieser Annahme aufkommen, so dass ein zweiter, genauerer Blick lohnt.

Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen.(Bild: Skórzewiak - stock.adobe.com) — Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen.
(Bild: Skórzewiak - stock.adobe.com)

Die Debatten über die Sicherheit von digitalen Zertifikaten reißt nicht ab. Google beispielsweise wird die Gültigkeit von TLS-Zertifikaten auf 90 Tage reduzieren. Microsoft schaltet TLS 1.0 und 1.1. für kommende Windows-Versionen ab. Was bedeutet das in der Folge für Unternehmen? Sollten sie von TLS auf HTTPS wechseln?

HTTPS und TLS/SSL sind sich eigentlich recht ähnlich. Sie werden zusammen verwendet, sind aber verschieden. HTTPS (Hypertext Transfer Protocol Secure) tritt auf, wenn Websites ordnungsgemäß mit TLS/SSL-Sicherheitszertifikaten gesichert sind. Ursprünglich stand bei Secure Socket Layer (SSL) das „s“ in HTTPS für den „sicheren“ Teil des HTTPS-Protokolls, der die Verschlüsselung der Daten vornimmt. Aber SSL wurde inzwischen durch Transport Layer Security (TLS) ersetzt, eine aktualisierte, sicherere Version von SSL.

Dagegen ist TLS das neuere kryptografische Protokoll, das SSL als Mittel zur Gewährleistung der Kommunikationssicherheit über ein Computernetz ersetzt hat. Das TLS-Protokoll wird häufig zur Absicherung von HTTPS verwendet, um die Vertraulichkeit, Integrität und Authentizität von Daten zu gewährleisten, die zwischen zwei oder mehreren kommunizierenden Computeranwendungen übertragen werden. TLS verwendet ein Handshake-Verfahren, um autorisierte Geräte zu authentifizieren und eine sichere Kommunikation über das Internet zu ermöglichen. TLS stellt auch sicher, dass Daten nur für autorisierte Benutzer verfügbar sind und verhindert, dass Hacker übertragene Daten, einschließlich persönlicher oder finanzieller Daten, sehen oder stehlen können.

Das TLS-Protokoll sichert die Kommunikation mit Hilfe einer asymmetrischen Public-Key-Infrastruktur (PKI). Bei dieser Art von PKI werden zwei unterschiedliche Schlüssel zur Verschlüsselung der Kommunikation zwischen zwei Parteien verwendet:

Privater Schlüssel: Der private Schlüssel befindet sich auf einem Webserver und wird zur Entschlüsselung der mit dem öffentlichen Schlüssel verschlüsselten Informationen verwendet.

Öffentlicher Schlüssel: Der öffentliche Schlüssel steht allen zur Verfügung, die auf sichere Weise mit dem Server interagieren wollen. Er verschlüsselt Daten so, dass sie nur mit dem privaten Schlüssel entschlüsselt werden können.

HTTPS verwendet das Verschlüsselungsprotokoll TLS zur Verschlüsselung der Kommunikation. Es ist die Standardtechnologie zur Absicherung einer Internetverbindung durch Verschlüsselung der zwischen einer Website und einem Browser oder zwischen zwei Servern gesendeten Daten.

Der Unterschied zwischen TLS/SSL und HTTPS

HTTPS ist eine Kombination aus HTTP- und TSL/SSL-Protokollen und wird zur Verschlüsselung der Kommunikation zwischen einem Server und einem Browser verwendet. TLS ist ein kryptografisches Protokoll, das eine sichere und verschlüsselte Kommunikation über das Internet gewährleistet. Hier ist ein Vergleich der beiden Protokolle.

Die Einführung von HTTPS und TLS/SSL war so erfolgreich, dass heute etwa 95 Prozent der Websites das HTTPS-Protokoll verwenden. Das bedeutet aber auch, dass jetzt viel mehr TLS-Zertifikate oder Maschinenidentitäten verwendet werden als je zuvor. Laut einer Venafi-Studie unter 1.000 CIOs erwarten diese, dass sich ihr Bestand an Maschinenidentitäten innerhalb des kommenden Jahres auf 500.000 mehr als verdoppeln wird.

Die Verwaltung so vieler TLS-Maschinenidentitäten ist jedoch keine leichte Aufgabe. Wenn diese TLS-Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. Trotz der relativen Ausgereiftheit vieler Sicherheits-, Identitäts- und Zugriffsverwaltungsprogramme bleiben Zertifikatsausfälle eine Herausforderung für Unternehmen jeder Größe. 83 Prozent der Unternehmen hatten in den letzten 12 Monaten einen Ausfall im Zusammenhang mit der Maschinenidentität zu verzeichnen, wobei mehr als ein Viertel feststellte, dass kritische Systeme betroffen waren.

Risk	Description
API1:2023 - Broken Object Level Authorization	APIs tend to expose endpoints that handle object identifiers, creating a wide attack surface of Object Level Access Control issues. Object level authorization checks should be considered in every function that accesses a data source using an ID from the user.
API2:2023 - Broken Authentication	Authentication mechanisms are often implemented incorrectly, allowing attackers to compromise authentication tokens or to exploit implementation flaws to assume other user's identities temporarily or permanently. Compromising a system's ability to identify the client/user, compromises API security overall.
API3:2023 - Broken Object Property Level Authorization	This category combinesAPI3:2019 Excessive Data Exposure andAPI6:2019 - Mass Assignment, focusing on the root cause: the lack of or improper authorization validation at the object property level. This leads to information exposure or manipulation by unauthorized parties.
API4:2023 - Unrestricted Resource Consumption	Satisfying API requests requires resources such as network bandwidth, CPU, memory, and storage. Other resources such as emails/SMS/phone calls or biometrics validation are made available by service providers via API integrations, and paid for per request. Successful attacks can lead to Denial of Service or an increase of operational costs.
API5:2023 - Broken Function Level Authorization	Complex access control policies with different hierarchies, groups, and roles, and an unclear separation between administrative and regular functions, tend to lead to authorization flaws. By exploiting these issues, attackers can gain access to other users’ resources and/or administrative functions.
API6:2023 - Unrestricted Access to Sensitive Business Flows	APIs vulnerable to this risk expose a business flow - such as buying a ticket, or posting a comment - without compensating for how the functionality could harm the business if used excessively in an automated manner. This doesn't necessarily come from implementation bugs.
API7:2023 - Server Side Request Forgery	Server-Side Request Forgery (SSRF) flaws can occur when an API is fetching a remote resource without validating the user-supplied URI. This enables an attacker to coerce the application to send a crafted request to an unexpected destination, even when protected by a firewall or a VPN.
API8:2023 - Security Misconfiguration	APIs and the systems supporting them typically contain complex configurations, meant to make the APIs more customizable. Software and DevOps engineers can miss these configurations, or don't follow security best practices when it comes to configuration, opening the door for different types of attacks.
API9:2023 - Improper Inventory Management	APIs tend to expose more endpoints than traditional web applications, making proper and updated documentation highly important. A proper inventory of hosts and deployed API versions also are important to mitigate issues such as deprecated API versions and exposed debug endpoints.
API10:2023 - Unsafe Consumption of APIs	Developers tend to trust data received from third-party APIs more than user input, and so tend to adopt weaker security standards. In order to compromise APIs, attackers go after integrated third-party services instead of trying to compromise the target API directly.

Vergleich zwischen TLS und HTTPS auf einen Blick (Quelle: Venafi 2023)

Fazit

In der bereits erwähnten Studie gaben fast zwei Drittel der CIOs zu, dass ihre Unternehmen statt einer umfassenden Lösung für das Management von Maschinenidentitäten mehrere Lösungen und Prozesse kombinieren, darunter Punktlösungen von Zertifizierungsstellen (CAs) und öffentlichen Cloud-Anbietern, selbst entwickelte Lösungen und manuelle Prozesse. Dieser stückweise Ansatz bietet weder einen unternehmensweiten Überblick über alle Maschinenidentitäten noch die erforderlichen Mechanismen zur Durchsetzung von Konfigurations- oder Richtlinienanforderungen. Venafi bietet eine Control Plane für Maschinenidentitäten an, die Unternehmen dabei hilft, Ausfälle von Anwendungen, Diensten und Sicherheitsinfrastrukturen zu verhindern, indem sie die notwendigen Funktionen zur Verwaltung von Maschinenidentitäten bereitstellt.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Über den Autor

Jens Sabitzer ist Manager Solution Architect Central Europe bei Venafi.

(ID:49833593)