Begriff
TLS 1.3
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Das Sicherheits-Update des Jahrzehnts (2018). TLS 1.2 war okay, aber alt (2008) und schleppte viel Müll mit sich herum (unsichere Algorithmen, langsame Handshakes). TLS 1.3 räumt auf:
- Schneller: Der Handshake braucht nur noch 1 Round Trip (statt 2). Die Verbindung steht sofort.
- Sicherer: Alles Unsichere (RSA Key Exchange, CBC Mode, SHA-1) wurde gelöscht. Man kann es nicht mehr falsch konfigurieren. Es erzwingt Perfect Forward Secrecy.
Merksatz: Die aktuellste Version des Verschlüsselungsprotokolls für das Internet, die signifikante Geschwindigkeitsvorteile (1-RTT) bietet und durch Entfernen veralteter Krypto-Verfahren die Sicherheit massiv erhöht.
Server-Config: ssl_protocols TLSv1.2 TLSv1.3;.
Mehr musst du oft nicht tun.
Clients (Browser, Java 11+, Python 3.7+) nutzen es bevorzugt.
Tools wie SSL Labs testen, ob du es aktiviert hast.
1. Encrypted Extensions
In TLS 1.2 war das Zertifikat des Servers im Klartext sichtbar "Ich bin bank.com". Ein Lauscher wusste, wohin du surfst (SNI Leak). In TLS 1.3 wird der Großteil des Handshakes schon verschlüsselt. (SNI ist mit ECH - Encrypted Client Hello - jetzt auch bald dicht).
2. State Machine
Die Zustandsmaschine im Code wurde radikal vereinfacht. Das reduziert die Gefahr von Bugs wie SMACK oder FREAK, wo Hacker den Server durch komplexe Zustandsübergänge verwirrt haben.
1. 0-RTT & The Replay Attack Risk
Das "0-RTT" (Zero Round Trip Time Resumption) Feature ist die größte Neuerung und gleichzeitig das größte Risiko von TLS 1.3.
Es erlaubt dem Client, Daten (z. B. einen HTTP GET Request) direkt im allerersten Paket an den Server zu schicken, basierend auf alten geheimen Schlüsseln einer vorherigen Sitzung.
Gefahr: Ein Hacker kann dieses erste Paket abfangen und es 100-mal an den Server senden (Replay Attack). Wenn der Request lautete POST /kaufen, würde der Server 100 Bestellungen auslösen.
Deshalb dürfen Browser 0-RTT nur für "Idempotente" Requests nutzen (GET), und Server-Admins müssen in Nginx/Apache explizit ssl_early_data on; setzen – mit dem Wissen, dass sie Replay-Schutz auf Applikationsebene brauchen.
2. PFS (Perfect Forward Secrecy) as a Standard
In TLS 1.2 konnte man RSA für den Key-Exchange nutzen. Wenn die Geheimdienste den privaten Schlüssel des Servers stahlen, konnten sie rückwirkend den gesamten Internetverkehr der letzten Jahre entschlüsseln, den sie aufgezeichnet hatten. TLS 1.3 verbietet RSA-Key-Exchange. Es ist NUR noch Diffie-Hellman (ECDHE) erlaubt. Hierbei generieren Client und Server für jede einzelne Verbindung ein kurzlebiges (ephemerals) Schlüsselpaar. Selbst wenn der Server-Key später gestohlen wird, sind die Aufzeichnungen der Vergangenheit wertlos. TLS 1.3 macht Massenüberwachung technisch massiv aufwendiger.
3. Key Schedule & HKDF
TLS 1.3 nutzt eine viel sauberere mathematische Struktur zur Schlüsselableitung: HKDF (HMAC-based Extract-and-Expand Key Derivation Function). Es gibt eine klare Hierarchie von Schlüsseln: Einer für den Handshake, einer für die Anwendungsdaten, einer für den Fallback. Dies verhindert Angrifsszenarien wie "Cross-Protocol-Attacks", bei denen ein Angreifer verschlüsselte Daten aus einem schwachen Teil des Handshakes nutzt, um Informationen über den starken Teil der Verschlüsselung zu erlangen. Durch die strikte Trennung der Schlüssel-Nutzung (Key Separation) ist TLS 1.3 gegen ganze Klassen von krypto-analytischen Angriffen immun, die TLS 1.2 noch plagten.
Quick-Check
Middleboxes?
Viele Firmen-Firewalls brachen zusammen, weil sie TLS 1.3 nicht verstanden. Lösung: TLS 1.3 sieht von außen aus wie TLS 1.2 ("Middlebox Compatibility Mode"), ist innen aber 1.3. Ein genialer Hack.0-RTT?
Das einzige "Risiko"-Feature. Erlaubt Daten im ersten Paket. Anfällig für Replay Attacks, wenn man nicht aufpasst.RSA?
RSA für Zertifikate geht noch. Aber RSA für Key Exchange ist tot (kein PFS). Es gibt nur noch Ephemeral Diffie-Hellman (ECDHE).