TLS Transport Layer Security — die Verschlüsselung unter HTTPS
Das Protokoll, das Server authentifiziert und die Leitung unter dem Großteil des modernen Internets verschlüsselt.
Das kryptografische Protokoll, das Server authentifiziert und den Kanal zwischen Client und Server unter HTTPS, SMTP, IMAP, MQTT und den meisten modernen Anwendungsprotokollen verschlüsselt. Der Nachfolger von SSL — TLS 1.0 löste SSL 3.0 im Jahr 1999 ab; die aktuelle Version ist TLS 1.3 (RFC 8446, 2018). Authentifizierung stützt sich auf eine Kette von X.509-Zertifikaten, verankert in einer öffentlich vertrauenswürdigen Zertifizierungsstelle.
TLS ist die Voreinstellung auf allem, was wir veröffentlichen.
Jede von NordBastion betriebene Oberfläche — die Marketing-Seite, das Kunden-Panel, die JSON-API, die Agents-Endpunkte, die Statusseite, das .well-known-Register — antwortet über TLS 1.2 oder TLS 1.3 mit einer modernen Cipher-Suite, mit HSTS preloaded und HTTP-auf-Port-80 bedingungslos auf HTTPS umgeleitet. Es gibt keinen Klartext-Pfad zu irgendeinem unserer Dienste, und es gab seit dem Launch keinen.
Für Kunden-Arbeitslasten liegt TLS in Ihren Händen: Der VPS gibt Ihnen eine Linux-Box, und Sie bringen die Zertifikats-Maschinerie mit, die zur Anwendung passt — Let's Encrypt für fast alles, ein bezahltes EV-Zertifikat, falls Ihr Compliance-Auditor es verlangt, eine private CA für interne Dienste. Die 1-Gbps-Uplinks und die moderne AES-NI-/VAES-Unterstützung auf den zugrunde liegenden CPUs bedeuten, dass die TLS-Terminierungskosten selbst bei anhaltender Line-Rate im Wesentlichen Rauschen sind.
Zwei angrenzende Punkte sind erwähnenswert. Erstens: TLS ist keine Ende-zu-Ende-Verschlüsselung: Eine TLS-Verbindung zwischen einem Chat-Client und einem Chat-Server schützt die Leitung, aber der Server-Betreiber kann die Nachricht weiterhin lesen. Der E2EE-Glossar-Eintrag zieht diese Linie präzise. Zweitens: TLS authentifiziert Server per Zertifikat; es authentifiziert nicht den Menschen, der den Server eingerichtet hat. PGP füllt diese zweite Rolle für Fingerprint-fähige Identität.
Die Seiten, die sich auf diesen Begriff stützen.
Die Fragen, die Leute wirklich stellen.
Was ist der Unterschied zwischen SSL und TLS?
TLS ist der moderne Name für das, was als SSL begann. Die Netscape-Ära-Protokolle SSL 2.0 und SSL 3.0 wurden 1999 in TLS 1.0 umbenannt und überarbeitet, dann TLS 1.1, 1.2 und 1.3. Die Begriffe „SSL-Zertifikat", „SSL/TLS" und so weiter halten sich in Marketing-Texten, aber jedes gesunde moderne Deployment läuft im Hintergrund auf TLS 1.2 oder TLS 1.3. SSL 2.0 und SSL 3.0 sind formal abgelehnt und sollten nirgendwo aktiviert sein.
Wie bekomme ich ein TLS-Zertifikat für eine Domain auf meinem VPS?
Die einfache Antwort ist Let's Encrypt: eine kostenlose, automatisierte Zertifizierungsstelle, die über das ACME-Protokoll 90-Tage-domänenvalidierte Zertifikate ausstellt. Der Certbot-Client (oder einer von caddy, traefik, nginx-acme, acme.sh) handhabt Ausstellung, Erneuerung und Webserver-Verdrahtung mit einem Befehl. Wir betreiben keine NordBastion-gebrandete CA — Let's Encrypt ist die richtige Antwort und wir zeigen ohne Modifikation darauf.
Ist TLS dasselbe wie Ende-zu-Ende-Verschlüsselung?
Nein. TLS schützt die Verbindung zwischen Client und Server. Wenn der Server ein Chat-Backend oder ein E-Mail-Anbieter ist, kann der Betreiber dieses Servers die Nachricht immer noch lesen — die TLS-Verschlüsselung endet an dessen Gateway. Ende-zu-Ende-Verschlüsselung ist eine separate Eigenschaft, bei der nur die kommunizierenden Endpunkte die Keys halten; die zwischengeschalteten Server sehen nur Chiffretext. Der dedizierte Glossar-Eintrag für Ende-zu-Ende-Verschlüsselung deckt die Unterscheidung in der Tiefe ab.
Erfordert die NordBastion-API TLS?
Ja — jeder Endpunkt auf api.nordbastion.com erfordert TLS 1.2 oder TLS 1.3 mit modernen Ciphern; HTTP-Anfragen auf Port 80 leiten ausnahmslos auf HTTPS um. Dasselbe gilt für die Marketing-Seite, das Kunden-Panel, die Statusseite und die .well-known-Oberflächen.