_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

SSL/TLS-Konfiguration — Sicheres HTTPS

02. 05. 2023 Aktualisiert: 27. 03. 2026 1 Min. Lesezeit intermediate
Dieser Artikel wurde veröffentlicht im Jahr 2023. Einige Informationen können veraltet sein.

Nicht jede TLS-Konfiguration ist sicher. TLS 1.0 und 1.1 sind veraltet und enthalten bekannte Schwachstellen, einige Cipher Suites sind schwach oder knackbar. Schlecht konfiguriertes HTTPS erzeugt ein falsches Sicherheitsgefuehl — der Browser zeigt ein Schloss, aber ein Angreifer kann den Verkehr entschluesseln. Eine korrekte TLS-Konfiguration ist die Grundlage jeder Webanwendung.

Empfohlene Konfiguration — Nginx

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
ssl_prefer_server_ciphers off;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:10m;
ssl_stapling on;
ssl_stapling_verify on;

Zentrale Entscheidungen: Erlauben Sie nur TLS 1.2 und 1.3 (TLS 1.3 bevorzugt), verwenden Sie AEAD Cipher Suites mit Forward Secrecy (ECDHE). ssl_prefer_server_ciphers off wird fuer TLS 1.3 empfohlen, da der Client typischerweise den besten Cipher waehlt. OCSP Stapling eliminiert die Notwendigkeit, dass der Browser die CA zur Zertifikatsverifizierung kontaktiert — reduziert Latenz und verbessert die Privatsphaere.

Zusaetzliche Sicherheitsheader

Neben der TLS-Konfiguration fuegen Sie den HSTS-Header hinzu (Strict-Transport-Security: max-age=63072000; includeSubDomains; preload), um sicherzustellen, dass der Browser immer HTTPS verwendet. Nach der Verifizierung der Funktionalitaet fuegen Sie die Domain zur HSTS-Preload-Liste hinzu fuer Schutz auch beim Erstzugriff.

Testen

# SSL Labs Online-Test
# https://ssllabs.com/ssltest/
openssl s_client -connect example.com:443 -tls1_3
testssl.sh https://example.com

Der SSL-Labs-Test bewertet die Konfiguration von A+ bis F. Zielen Sie auf A+. testssl.sh ist eine Open-Source-Alternative fuer lokales Testen ohne Daten an externe Dienste zu senden. Testen Sie regelmaessig — neue Schwachstellen tauchen kontinuierlich auf.

Was man NIEMALS verwenden sollte

  • SSL 2.0, 3.0, TLS 1.0, 1.1 — bekannte Schwachstellen (POODLE, BEAST, CRIME)
  • RC4, 3DES, NULL Ciphers — knackbar oder ohne Verschluesselung
  • Self-Signed-Zertifikate in der Produktion — Let’s Encrypt ist kostenlos

Wichtigste Erkenntnis

TLS 1.2 als Minimum, TLS 1.3 als Ideal. AEAD Cipher Suites mit Forward Secrecy, OCSP Stapling, HSTS-Header. Auf SSL Labs testen und A+ anstreben.

securityssltlshttps
Teilen:

CORE SYSTEMS Team

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Alle Artikel

Mehr Know-how

SSL/TLS-Zertifikate in Java-Anwendungen

Verwaltung von SSL-Zertifikaten in Java Keystores. Keytool, Truststore, Mutual TLS und häufige HTTPS-Probleme.

Let's Encrypt: Kostenlose SSL-Zertifikate für alle

Let's Encrypt startet die öffentliche Beta und bietet automatisierte, kostenlose TLS-Zertifikate. HTTPS wird zum...

SSL/TLS Checkliste

SSL/TLS Checkliste — Zertifikate, Protokolle, HSTS, Certificate Transparency.

SSL/TLS — Sicherheits-Best-Practices für 2014

Heartbleed hat die Spielregeln geändert. Ein vollständiger Leitfaden zur SSL/TLS-Konfiguration für 2014 — Cipher...