Über 5.000 Erfahrungsberichte von über 400 Hosting-Anbietern im Vergleich!

Was ist StartTLS und wie beeinflusst es die Verschlüsselung?

Hosttest.de
Autor: HOSTTEST-Redaktion   |  24.08.2020


StartTSL Was ist das?Die Verschlüsselung der Kommunikation über verteilte Netzwerke wie dem Internet ist aus mehreren Gründen unverzichtbar - gleichgültig, ob es sich um eine eigene E-Mail-Domain, die Authentifizierung auf Webseiten oder den Transfer von Dateien und Dokumenten handelt. Eine offene und nicht chiffrierte Verbindung ermöglicht es jedem beteiligten Server und Knoten, diese im Klartext übertragenen Informationen zu speichern und auszuwerten. Um Sicherheit zu gewährleisten, benötigt die Übermittlung deshalb zwingend sichere Verfahren. Dafür haben sich unterschiedliche Verfahren und Protokolle etabliert - zu diesen zählen Secure Shell, Secure Sockets Layer (SSL), Transport Layer Security (TLS) und dessen Variante StartTLS. Die Vielzahl der Möglichkeiten sorgt leider immer wieder zu Verwirrung, welche Abkürzung für welche Methode steht und Nutzer wie Server eine maximale Sicherheit garantiert.

 

Welche Rolle spielt StartTLS für die Verschlüsselung?

Bei StartTLS handelt es sich nicht um ein eigenes Netzwerkprotokoll, sondern lediglich um ein definiertes Verfahren mit universellen Kommandos, das die Verschlüsselung über TLS initiiert und die Bedingungen für die bilaterale Kommunikation zwischen den beteiligten Endpunkten aushandelt. Es besitzt einige Besonderheiten, die es deutlich von anderen Methoden abhebt. Zu den Merkmalen von StartTLS zählen unter anderem:

  • Verschlüsselung über verschiedene Versionen von TLS
  • Aufbau einer Verbindung erfolgt im ersten Schritt unverschlüsselt
  • Kompatibilität mit unterschiedlichen Standards bis hin zu unverschlüsseltem Datenaustausch
  • Server und Client definieren Bedingungen für die Kommunikation gemeinsam
  • Anwendung für Webseiten, externe und eigene E-Mail-Domain
  • Authentifizierung von Nutzern über das verhandelte Protokoll
  • Anfällig für Angriffe durch Dritte als Zwischeninstanz (Man-in-the-Middle Attacken)

Der Aufbau einer Verbindung über StartTLS erfolgt zunächst unverschlüsselt in Klartext, um eine weitreichende Abwärtskompatibilität zu gewährleisten. Bei der ersten Anfrage erkundigt sich der Client bei dem Server nach der Unterstützung für kryptografische Verfahren und welche Chiffrierung in SSL oder TLS dieser anbietet. Verwenden beide Seiten einen kompatiblen Standard, handeln sie über StartTLS anschließend das verwendete Protokoll und dessen Version aus, um die Authentifizierung und sämtliche nachfolgende Informationen nach diesem Prinzip zu verschlüsseln.

Kritik an StartTLS als Verfahren

Das größte Problem an StartTLS besteht in der Tatsache, dass dieses nicht von Anfang an eine Verschlüsselung verwendet, sondern diese erst in einer zweiten Stufe einsetzt. Es handelt sich deshalb um ein Verfahren zur expliziten und nicht zur impliziten Sicherheit, das als opportunistische Verschlüsselung bekannt ist. Im Unterschied dazu verwendet implizites TLS eine vollständige Verschlüsselung von der ersten individuellen Anfrage, indem es Pakete mit einem öffentlichen Schlüssel oder Zertifikaten chiffriert, die nur von einer autorisierten Gegenstelle wieder in Klartext übersetzt werden können.

Angesichts des Hintergrunds von StartTLS ist dessen Vorgehen durchaus schlüssig - sein Ursprung geht bis auf die Jahrtausendwende zurück. Zu dieser Zeit war die Kommunikation auch in öffentlichen Netzen bis auf wenige Ausnahmen in sicherheitsrelevanten Bereichen - etwa bei der Übertragung von Bankdaten - nicht verschlüsselt. Um die allgemeine Verbreitung und Sicherheit der Kommunikation zu erhöhen, zeigt sich ein abwärtskompatibler und mit nicht sicheren Clients kompatibler Standard wie StartTLS als Vorteil. Er stellt jedoch zwangsläufig eine temporäre und keine dauerhafte Lösung dar.

Die Situation hat sich 20 Jahre später deutlich verändert - es ist mittlerweile prinzipiell nicht zu empfehlen, Daten ohne sichere Verschlüsselung zu übertragen und die gängigen Browser und Server unterstützen bis auf seltene Ausnahmen dazu geeignete Verfahren. Aus diesem Grund sind Anfragen, die wie bei StartTLS in Klartext erfolgen, gleich in mehrfacher Hinsicht inzwischen obsolet geworden. Angesichts der heutigen Bedrohungslage und der teils hochgradig spezialisierten Angriffe ist es in den meisten Fällen sicherer, keine Daten zu übertragen, statt diese ohne einen adäquaten Schutz zu übermitteln - dies gilt ohnehin bei jeder Authentifizierung über eine Kombination aus Name und Passwort.

Was sind die wichtigsten Einsatzbereiche von StartTLS?

Obwohl StartTLS ebenfalls für Webseiten verwendet werden kann, dient es primär für das Verschlüsseln der Kommunikation über E-Mail. Viele E-Mail Clients wie zum Beispiel Mozilla Outlook oder Thunderbird unterstützen noch immer das Verfahren, um die Möglichkeiten zu ermitteln, eine sichere Verbindung zu einem Server aufzubauen. Dabei erfolgt die erste Abfrage als StartTLS Kommando über die Standardverbindung, bevor die Authentifizierung und die Übermittlung der Nachrichten auf einem speziellen Kanal (Port) erfolgt, den der Server an den Client übermittelt.

Ein Grund dieser Spezialisierung liegt darin, dass einige Mailserver lange Zeit keinerlei Verschlüsselung anboten oder mit konkurrierenden, nicht kompatiblen Standards arbeiteten. Aus diesem Grund zeigte sich StartTLS für diese Periode als sinnvolle Ergänzung, die in der Lage war, die Sicherheit auf das maximal mögliche Niveau zu steigern. Spätestens seit 2010 ist jedoch erstens von der Verwendung unverschlüsselter Verbindungen generell abzuraten, zweitens unterstützen seriöse und sicherheitsorientierte E-Mail-Anbieter ausnahmslos eine vollständige Verschlüsselung über TLS. Aus diesen Gründen sollte prinzipiell auf die Verwendung von StartTLS zugunsten von TLS verzichtet werden - sowohl als Client wie auch auf VPS, Cloud- und Root-Servern.

Foto: Tumisu von Pixabay


Weitere Webhoster


Weitere interessante Artikel

Die optimale Abwesentheitsnotiz - Inhalt, Vorlagen und Beispiele

Die optimale Abwesenheitsnotiz. Wir zeigen euch Inhalt, Vorlagen und Beispiele.

Was bedeutet Shared SSL? hosttest klärt auf

Was bedeutet Shared SSL? Wir erklären den Begriff, den viele Webhosting-Angebote beinhalten.

Aktuelle Ausschreibungen
Webspace gesucht
noch 7 Tage und 20 Stunden
Server mit viel HDD-Space
noch 3 Tage und 19 Stunden
Windows V-Server
noch 20 Stunden
Neueste Bewertungen
Clemens S. hat Contabo GmbH bewertet
Manuel G. hat LA Webhosting bewertet
Harald H. hat Bitpalast® bewertet
Peter E. hat HTML Design bewertet
marcel S. hat myLoc managed IT AG bewertet
Valentin hat Flix-Host bewertet
Kai K. hat ServMedia.de bewertet
Sonja hat Flix-Host bewertet
Götz G. hat Flix-Host bewertet
Cedric hat Flix-Host bewertet
Justin P. hat PHP-Friends bewertet
Gökhan hat KernelHost bewertet
Michael H. hat Internethelden bewertet
Nastassja K. hat Onyxhosting.de bewertet
A. S. hat menkiSys Networks e. U. bewertet
Sebastian hat Onyxhosting.de bewertet
Frauke D. hat Servana Webhosting bewertet
Frauke D. hat Servana Webhosting bewertet
Klaus K. hat Pixel X e.K. bewertet
Konstantinos K. hat netcup GmbH bewertet

Mediapartner:
Webmaster Eye
hosttalk.de

Du bietest Hosting Leistungen an?

Über Hosttest.de

Hosttest stellt eine Plattform rund um das Thema Webhosting Vergleich dar. Dabei können Interessenten aus mehr als 800 Webhostern den für sie passendsten Webhoster anhand von über 5.000 Erfahrungsberichten und über 6.000 Angeboten zu Themen wie Webhosting Vergleich, Root-Server Vergleich, Vserver Vergleich und anderen Hosting-Produkten auswählen.

Zudem küren wir monatlich die TOP20 Webhoster in Deutschland bereits seit 2006.