Keine Ahnung, welches Hosting-Paket zu dir passt? Zum Webhosting-Berater

Was ist StartTLS und wie beeinflusst es die Verschlüsselung?

Autor: Hosttest Redaktion   |24.08.2020

StartTSL Was ist das?Die Verschlüsselung der Kommunikation über verteilte Netzwerke wie dem Internet ist aus mehreren Gründen unverzichtbar - gleichgültig, ob es sich um eine eigene E-Mail-Domain, die Authentifizierung auf Webseiten oder den Transfer von Dateien und Dokumenten handelt. Eine offene und nicht chiffrierte Verbindung ermöglicht es jedem beteiligten Server und Knoten, diese im Klartext übertragenen Informationen zu speichern und auszuwerten. Um Sicherheit zu gewährleisten, benötigt die Übermittlung deshalb zwingend sichere Verfahren. Dafür haben sich unterschiedliche Verfahren und Protokolle etabliert - zu diesen zählen Secure Shell, Secure Sockets Layer (SSL), Transport Layer Security (TLS) und dessen Variante StartTLS. Die Vielzahl der Möglichkeiten sorgt leider immer wieder zu Verwirrung, welche Abkürzung für welche Methode steht und Nutzer wie Server eine maximale Sicherheit garantiert.

 

Welche Rolle spielt StartTLS für die Verschlüsselung?

Bei StartTLS handelt es sich nicht um ein eigenes Netzwerkprotokoll, sondern lediglich um ein definiertes Verfahren mit universellen Kommandos, das die Verschlüsselung über TLS initiiert und die Bedingungen für die bilaterale Kommunikation zwischen den beteiligten Endpunkten aushandelt. Es besitzt einige Besonderheiten, die es deutlich von anderen Methoden abhebt. Zu den Merkmalen von StartTLS zählen unter anderem:

  • Verschlüsselung über verschiedene Versionen von TLS
  • Aufbau einer Verbindung erfolgt im ersten Schritt unverschlüsselt
  • Kompatibilität mit unterschiedlichen Standards bis hin zu unverschlüsseltem Datenaustausch
  • Server und Client definieren Bedingungen für die Kommunikation gemeinsam
  • Anwendung für Webseiten, externe und eigene E-Mail-Domain
  • Authentifizierung von Nutzern über das verhandelte Protokoll
  • Anfällig für Angriffe durch Dritte als Zwischeninstanz (Man-in-the-Middle Attacken)

Der Aufbau einer Verbindung über StartTLS erfolgt zunächst unverschlüsselt in Klartext, um eine weitreichende Abwärtskompatibilität zu gewährleisten. Bei der ersten Anfrage erkundigt sich der Client bei dem Server nach der Unterstützung für kryptografische Verfahren und welche Chiffrierung in SSL oder TLS dieser anbietet. Verwenden beide Seiten einen kompatiblen Standard, handeln sie über StartTLS anschließend das verwendete Protokoll und dessen Version aus, um die Authentifizierung und sämtliche nachfolgende Informationen nach diesem Prinzip zu verschlüsseln.

Hier gibt es mehr Informationen zum Unterschied zwischen SSL vs TLS.

Kritik an StartTLS als Verfahren

Das größte Problem an StartTLS besteht in der Tatsache, dass dieses nicht von Anfang an eine Verschlüsselung verwendet, sondern diese erst in einer zweiten Stufe einsetzt. Es handelt sich deshalb um ein Verfahren zur expliziten und nicht zur impliziten Sicherheit, das als opportunistische Verschlüsselung bekannt ist. Im Unterschied dazu verwendet implizites TLS eine vollständige Verschlüsselung von der ersten individuellen Anfrage, indem es Pakete mit einem öffentlichen Schlüssel oder Zertifikaten chiffriert, die nur von einer autorisierten Gegenstelle wieder in Klartext übersetzt werden können.

Angesichts des Hintergrunds von StartTLS ist dessen Vorgehen durchaus schlüssig - sein Ursprung geht bis auf die Jahrtausendwende zurück. Zu dieser Zeit war die Kommunikation auch in öffentlichen Netzen bis auf wenige Ausnahmen in sicherheitsrelevanten Bereichen - etwa bei der Übertragung von Bankdaten - nicht verschlüsselt. Um die allgemeine Verbreitung und Sicherheit der Kommunikation zu erhöhen, zeigt sich ein abwärtskompatibler und mit nicht sicheren Clients kompatibler Standard wie StartTLS als Vorteil. Er stellt jedoch zwangsläufig eine temporäre und keine dauerhafte Lösung dar.

Die Situation hat sich 20 Jahre später deutlich verändert - es ist mittlerweile prinzipiell nicht zu empfehlen, Daten ohne sichere Verschlüsselung zu übertragen und die gängigen Browser und Server unterstützen bis auf seltene Ausnahmen dazu geeignete Verfahren. Aus diesem Grund sind Anfragen, die wie bei StartTLS in Klartext erfolgen, gleich in mehrfacher Hinsicht inzwischen obsolet geworden. Angesichts der heutigen Bedrohungslage und der teils hochgradig spezialisierten Angriffe ist es in den meisten Fällen sicherer, keine Daten zu übertragen, statt diese ohne einen adäquaten Schutz zu übermitteln - dies gilt ohnehin bei jeder Authentifizierung über eine Kombination aus Name und Passwort.

Was sind die wichtigsten Einsatzbereiche von StartTLS?

Obwohl StartTLS ebenfalls für Webseiten verwendet werden kann, dient es primär für das Verschlüsseln der Kommunikation über E-Mail. Viele E-Mail Clients wie zum Beispiel Mozilla Outlook oder Thunderbird unterstützen noch immer das Verfahren, um die Möglichkeiten zu ermitteln, eine sichere Verbindung zu einem Server aufzubauen. Dabei erfolgt die erste Abfrage als StartTLS Kommando über die Standardverbindung, bevor die Authentifizierung und die Übermittlung der Nachrichten auf einem speziellen Kanal (Port) erfolgt, den der Server an den Client übermittelt.

Ein Grund dieser Spezialisierung liegt darin, dass einige Mailserver lange Zeit keinerlei Verschlüsselung anboten oder mit konkurrierenden, nicht kompatiblen Standards arbeiteten. Aus diesem Grund zeigte sich StartTLS für diese Periode als sinnvolle Ergänzung, die in der Lage war, die Sicherheit auf das maximal mögliche Niveau zu steigern. Spätestens seit 2010 ist jedoch erstens von der Verwendung unverschlüsselter Verbindungen generell abzuraten, zweitens unterstützen seriöse und sicherheitsorientierte E-Mail-Anbieter ausnahmslos eine vollständige Verschlüsselung über TLS. Aus diesen Gründen sollte prinzipiell auf die Verwendung von StartTLS zugunsten von TLS verzichtet werden - sowohl als Client wie auch auf VPS, Cloud- und Root-Servern.

Foto: Tumisu von Pixabay

Schreibe einen Kommentar



Weitere Webhoster


Weitere interessante Artikel

Was ist ein SSH Zugang und wozu benötige ich ihn?

Wir zeigen euch weshalb ihr einen SSH Zugang benötigt und welche Fähigkeiten dieser euch gibt.

SSL Zertifikat auf IP Adressen ausstellen - ist das möglich?

Normalerweise werden SSL Zertifikate auf die jeweilige Domain ausgestellt. Doch können diese auch auf eine IP-Adresse au...

Offene IT-Stellen
Linux Systemadmin...
dogado GmbH
Inhouse techn. Ku...
dogado GmbH
IT-Systemadminist...
IP-Projects GmbH & Co. KG
Linux-Systemadmin...
Domain-Offensive
Aktuelle Ausschreibungen
cpanel Webhosting...
noch 4 Tage und 13 Stunden
Webhosting für Up...
noch 4 Tage und 13 Stunden
Übernahme/Umzug v...
Vor kurzem Beendet
Online Galerie
Vor kurzem Beendet
Neueste Bewertungen
A B. hat DomainFactory bewertet
Yannick hat helloly GmbH bewertet
Gerd K. hat RockingHoster Deutschland GmbH bewertet
Bernhard hat IP-Projects GmbH & Co. KG bewertet
Robert H. hat goneo bewertet
Christian M. hat SiteGround bewertet
Wolfgang hat STRATO AG bewertet
Jürgen S. hat IP-Projects GmbH & Co. KG bewertet
Walter hat LA Webhosting bewertet
Nikita hat webgo bewertet
Achim hat Onyxhosting.de bewertet
Patrick hat lima-city bewertet
Andreas F. hat netcup GmbH bewertet
Andreas hat dogado GmbH bewertet
Jochen L. hat ServMedia.de bewertet
Klaus K. hat Pixel X e.K. bewertet
Christian hat STRATO AG bewertet
Thilo hat dogado GmbH bewertet
Holger B. hat Alfahosting GmbH bewertet

Wir konnten bereits Hunderttausenden Webmastern helfen den passenden Hosting-Anbieter zu finden.
Über Hosttest.de

Im Jahr 2006 riefen wir hosttest ins Leben, um den Webhosting Markt im DACH-Raum transparenter zu machen. Mit derzeit über 400 Webhostern und über 10.000 Angeboten bieten wir dir die beste Grundlage, den für dich passenden Anbieter für Hosting-Leistungen zu finden.

Seit 2015 küren wir zudem alljährlich unsere Webhoster des Jahres und würden uns in Zukunft auch über deine Stimme freuen.
Mehr über uns...