01.11.2024

Sicherheit

SSL Public and Private Encryption Keys: Ein vollständiger Leitfaden für 2025

Sichere, verschlüsselte Kommunikation ist das Rückgrat jeder vertrauenswürdigen Website. Egal ob Sie einen E-Commerce-Shop, einen WordPress-Blog oder eine benutzerdefinierte API betreiben – SSL/TLS-Verschlüsselung schützt die Daten Ihrer Benutzer vor Abfangen und Manipulation. Im Kern dieses Schutzes liegt ein leistungsstarkes kryptografisches Konzept: öffentliche und private Schlüsselpaare.

Dieser Leitfaden erklärt genau, wie SSL-öffentliche und private Schlüssel funktionieren, warum sie wichtig sind und wie Sie sie effektiv implementieren und verwalten – egal ob Sie auf einem VPS, einem dedizierten Server oder Shared Hosting hosten.

Was sind SSL-öffentliche und private Schlüssel?

SSL (Secure Sockets Layer) und sein moderner Nachfolger TLS (Transport Layer Security) basieren auf asymmetrischer Verschlüsselung – einem kryptografischen System, das zwei mathematisch verknüpfte Schlüssel verwendet: einen öffentlichen Schlüssel und einen privaten Schlüssel. Zusammen bilden sie ein Schlüsselpaar, das sichere, authentifizierte Kommunikation zwischen einem Client (z. B. einem Webbrowser) und einem Server ermöglicht.

Der öffentliche Schlüssel

Der öffentliche Schlüssel ist, wie der Name schon sagt, öffentlich verfügbar. Er ist direkt in Ihrem SSL/TLS-Zertifikat eingebettet, das auf Ihrem Webserver installiert ist und jedem Besucher präsentiert wird, der sich mit Ihrer Website verbindet. Jeder kann den öffentlichen Schlüssel verwenden, um Daten zu verschlüsseln, aber diese verschlüsselten Daten können nur mit dem entsprechenden privaten Schlüssel entsperrt werden.

Stellen Sie sich das wie ein Vorhängeschloss vor: Sie können Tausende von offenen Vorhängeschlössern (öffentliche Schlüssel) an jeden verteilen, der Ihnen eine sichere Nachricht senden möchte, aber nur Sie halten den Schlüssel (privaten Schlüssel), der sie öffnet.

Der private Schlüssel

Der private Schlüssel ist die empfindlichste Komponente Ihres SSL-Setups. Er wird auf Ihrem Server generiert und darf ihn niemals verlassen. Dieser Schlüssel wird verwendet, um Daten zu entschlüsseln, die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurden. Das gesamte Sicherheitsmodell von SSL hängt von der absoluten Vertraulichkeit des privaten Schlüssels ab.

Wenn ein Angreifer jemals Zugriff auf Ihren privaten Schlüssel erhält, kann er:

Alle abgefangenen verschlüsselten Datenverkehr entschlüsseln
Ihren Server gegenüber ahnungslosen Benutzern imitieren
Man-in-the-Middle-Angriffe (MITM) unbemerkt durchführen

Deshalb sind sichere Serverumgebungen – wie die durch Dedicated Servers mit vollständigem Root-Zugriff und Hardware-Isolation angeboten – für Produktionsbereitstellungen entscheidend.

Wie öffentliche und private Schlüssel in einer SSL/TLS-Verbindung funktionieren

Der Prozess zum Aufbau einer sicheren HTTPS-Verbindung wird als SSL/TLS-Handshake bezeichnet. Hier ist eine detaillierte, Schritt-für-Schritt-Aufschlüsselung, wie öffentliche und private Schlüssel während dieses Prozesses verwendet werden.

Schritt 1: Das Client Hello

Wenn der Browser eines Benutzers versucht, sich mit Ihrer HTTPS-Website zu verbinden, initiiert er den Handshake durch Senden einer Client Hello-Nachricht an den Server. Diese Nachricht enthält:

Die SSL/TLS-Protokollversionen, die der Client unterstützt
Eine Liste unterstützter Cipher Suites (Verschlüsselungsalgorithmen)
Eine zufällig generierte Nummer, die später bei der Schlüsselableitung verwendet wird
Unterstützte Kompressionsmethoden

In diesem Stadium hat noch keine Verschlüsselung stattgefunden. Der Client kündigt einfach seine Fähigkeiten an.

Schritt 2: Das Server Hello und die Zertifikatspräsentation

Der Server antwortet mit einer Server Hello-Nachricht, die Folgendes enthält:

Die ausgewählte SSL/TLS-Version und Cipher Suite
Eine weitere zufällig generierte Nummer
Das SSL-Zertifikat des Servers, das den öffentlichen Schlüssel des Servers enthält und von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist

Der Client validiert dann das Zertifikat, indem er Folgendes überprüft:

Dass es von einer vertrauenswürdigen CA ausgestellt wurde (z. B. Let’s Encrypt, DigiCert oder Sectigo)
Dass es nicht abgelaufen ist
Dass der Domänenname dem Common Name (CN) oder Subject Alternative Name (SAN) des Zertifikats entspricht
Dass das Zertifikat nicht widerrufen wurde (über CRL oder OCSP)

Wenn eine dieser Überprüfungen fehlschlägt, zeigt der Browser eine Sicherheitswarnung an und die Verbindung wird normalerweise abgebrochen.

Schritt 3: Schlüsselaustausch – Wo öffentliche/private Schlüssel ihre schwerste Arbeit leisten

Sobald das Zertifikat validiert ist, müssen sich Client und Server auf einen gemeinsamen Sitzungsschlüssel einigen – einen symmetrischen Verschlüsselungsschlüssel, der zur Verschlüsselung aller tatsächlichen Daten während der Sitzung verwendet wird. Hier spielt das öffentliche/private Schlüsselpaar seine kritischste Rolle.

Bei traditionellem RSA-Schlüsselaustausch:

Der Client generiert ein zufälliges Pre-Master-Secret
Der Client verschlüsselt das Pre-Master-Secret mit dem öffentlichen Schlüssel des Servers (extrahiert aus dem SSL-Zertifikat)
Das verschlüsselte Pre-Master-Secret wird an den Server gesendet
Der Server verwendet seinen privaten Schlüssel, um das Pre-Master-Secret zu entschlüsseln
Sowohl Client als auch Server leiten unabhängig denselben Sitzungsschlüssel aus dem Pre-Master-Secret und den zuvor ausgetauschten Zufallszahlen ab

Bei modernem TLS 1.3 mit ECDHE (Elliptic Curve Diffie-Hellman Ephemeral):

Der Schlüsselaustauschprozess ist noch sicherer. Anstatt ein Pre-Master-Secret direkt zu verschlüsseln, tragen beide Parteien zur Generierung des Sitzungsschlüssels bei, indem sie ephemere Schlüsselpaare verwenden. Dies bietet Perfect Forward Secrecy (PFS), was bedeutet, dass selbst wenn der private Schlüssel in Zukunft kompromittiert wird, vergangene Sitzungen nicht entschlüsselt werden können.

Schritt 4: Etablierung symmetrischer Verschlüsselung für Datenübertragung

Sobald beide Parteien denselben Sitzungsschlüssel teilen, ist der SSL-Handshake abgeschlossen. Die gesamte nachfolgende Kommunikation – jede HTTP-Anfrage, Antwort, jedes Cookie und jede Formularübermittlung – wird mit symmetrischer Verschlüsselung verschlüsselt (normalerweise AES-256), die für die Massenübertragung von Daten viel schneller ist als asymmetrische Verschlüsselung.

Das öffentliche/private Schlüsselpaar ist in diesem Stadium nicht mehr direkt beteiligt. Seine Aufgabe war es, den Sitzungsschlüssel sicher zu etablieren; die symmetrische Verschlüsselung übernimmt von hier an.

Warum asymmetrische Verschlüsselung nur für den Handshake verwendet wird

Eine häufig gestellte Frage ist: *Wenn öffentliche/private Schlüsselverschlüsselung so sicher ist, warum wird sie nicht für alle Daten verwendet?*

Die Antwort ist Leistung. Asymmetrische Verschlüsselung ist rechnerisch teuer – um Größenordnungen langsamer als symmetrische Verschlüsselung. Die Verwendung von RSA oder ECC zur Verschlüsselung von Gigabytes an Streaming-Video oder Datenbankabfragen wäre unpraktisch.

Die elegante Lösung, die SSL/TLS verwendet, ist ein Hybrid-Ansatz:

Phase	Verschlüsselungstyp	Zweck
Handshake	Asymmetrisch (RSA/ECC)	Sicherer Austausch des Sitzungsschlüssels
Datenübertragung	Symmetrisch (AES)	Schnelle Massenverschiebung von Daten
Authentifizierung	Digitale Signaturen	Überprüfung der Serveridentität

Dieses Hybrid-Modell bietet Ihnen die Sicherheit asymmetrischer Verschlüsselung mit der Geschwindigkeit symmetrischer Verschlüsselung.

Best Practices für SSL-Schlüsselverwaltung

Die Generierung eines SSL-Zertifikats ist nur der Anfang. Eine ordnungsgemäße Schlüsselverwaltung ist das, was Ihre Infrastruktur über die Zeit hinweg sicher hält. Hier sind die wesentlichen Best Practices, die jeder Systemadministrator befolgen sollte.

1. Verwenden Sie ausreichend starke Schlüssellängen

Schwache Schlüssel können durch Brute-Force- oder mathematische Angriffe gebrochen werden. Befolgen Sie diese Mindeststandards:

RSA-Schlüssel: Verwenden Sie 2048-Bit als absolutes Minimum; 4096-Bit wird für hochsichere Umgebungen empfohlen
ECC-Schlüssel: Verwenden Sie 256-Bit (P-256) oder höher – ECC bietet äquivalente Sicherheit zu RSA mit viel kleineren Schlüsselgrößen und verbessert die Handshake-Leistung
Vermeiden Sie veraltete Algorithmen: Verwenden Sie nicht MD5, SHA-1 oder SSL 3.0/TLS 1.0/1.1 – diese sind veraltet und anfällig

2. Schützen Sie Ihren privaten Schlüssel um jeden Preis

Ihre private Schlüsseldatei (normalerweise server.key oder privkey.pem) muss als die empfindlichste Datei auf Ihrem Server behandelt werden:

Legen Sie strikte Dateiberechtigungen fest: chmod 600 /etc/ssl/private/server.key
Stellen Sie sicher, dass die Datei nur dem Root oder dem Webserver-Benutzer gehört
Übertragen Sie den privaten Schlüssel niemals per E-Mail, Chat oder unverschlüsselten Kanälen
Speichern Sie ihn niemals in einem öffentlich zugänglichen Verzeichnis oder Repository (z. B. GitHub)
Erwägen Sie die Verwendung eines Hardware Security Module (HSM) für Unternehmensumgebungen

3. Erneuern Sie SSL-Zertifikate regelmäßig

SSL-Zertifikate haben Ablaufdaten. Ein abgelaufenes Zertifikat verursacht Browser-Warnungen, die das Vertrauen der Benutzer zerstören und Ihre SEO-Rankings beeinträchtigen können. Best Practices umfassen:

Verwenden Sie Let’s Encrypt mit Certbot für kostenlose, automatisch erneuernde 90-Tage-Zertifikate
Richten Sie Erneuerungs-Cron-Jobs ein: certbot renew --quiet zweimal täglich ausgeführt
Überwachen Sie den Zertifikatsablauf mit Tools wie SSL Labs, Zabbix oder Nagios
Für kommerzielle Zertifikate kaufen Sie diese bei einem zuverlässigen Anbieter – AlexHost bietet SSL-Zertifikate für Domänen aller Art

4. Implementieren Sie HTTPS-Umleitung

Ein installiertes SSL-Zertifikat reicht nicht aus – Sie müssen sicherstellen, dass der gesamte Datenverkehr es verwendet. Fügen Sie Folgendes zu Ihrer Apache- oder Nginx-Konfiguration hinzu:

Apache:

<VirtualHost *:80>
    ServerName yourdomain.com
    Redirect permanent / https://yourdomain.com/
</VirtualHost>

Nginx:

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

5. Aktivieren Sie HTTP Strict Transport Security (HSTS)

HSTS weist Browser an, immer HTTPS für Ihre Domäne zu verwenden, auch wenn ein Benutzer http:// manuell eingibt:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Sobald Sie sich Ihres SSL-Setups sicher sind, reichen Sie Ihre Domäne in die HSTS-Preload-Liste ein, um maximalen Schutz zu erhalten.

6. Rotieren Sie Schlüssel nach jedem Sicherheitsvorfall

Wenn Sie vermuten, dass Ihr privater Schlüssel kompromittiert wurde – oder wenn ein Server außer Betrieb genommen wird – führen Sie sofort Folgendes durch:

Generieren Sie ein neues Schlüsselpaar
Reichen Sie eine neue Certificate Signing Request (CSR) bei Ihrer CA ein
Installieren Sie das neue Zertifikat
Widerrufen Sie das alte Zertifikat über das Dashboard Ihrer CA

Generieren eines SSL-Schlüsselpaares und einer CSR unter Linux

Wenn Sie Ihren eigenen Server verwalten, erfahren Sie hier, wie Sie ein privates Schlüsselpaar und eine Certificate Signing Request (CSR) mit OpenSSL generieren:

Generieren Sie einen 2048-Bit-RSA-Privatschlüssel

openssl genrsa -out server.key 2048

Generieren Sie eine CSR aus dem privaten Schlüssel

openssl req -new -key server.key -out server.csr

Sie werden aufgefordert, Ihre Organisationsdetails einzugeben, einschließlich:

Land (C)
Bundesland/Provinz (ST)
Ort (L)
Organisation (O)
Common Name (CN) – dies muss genau mit Ihrem Domänennamen übereinstimmen

Überprüfen Sie den CSR-Inhalt

openssl req -text -noout -verify -in server.csr

Reichen Sie die CSR bei Ihrer Zertifizierungsstelle ein, um Ihr signiertes SSL-Zertifikat zu erhalten.

Installieren Sie das Zertifikat auf Nginx

ssl_certificate /etc/ssl/certs/server.crt;
ssl_certificate_key /etc/ssl/private/server.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;

SSL auf AlexHost: Bereitstellung leicht gemacht

Egal ob Sie eine WordPress-Website, eine Node.js-API oder eine hochfrequente E-Commerce-Plattform bereitstellen – die richtige Hosting-Infrastruktur macht die SSL-Verwaltung erheblich einfacher.

VPS-Hosting

Mit VPS-Hosting von AlexHost erhalten Sie vollständigen Root-Zugriff auf Ihren Server, sodass Sie SSL-Zertifikate genau nach Bedarf installieren und konfigurieren können – ob mit Let’s Encrypt über Certbot, kommerziellen Zertifikaten oder Wildcard-Zertifikaten für Subdomänen. NVMe SSD-Speicher gewährleistet schnelle SSL-Handshake-Verarbeitung auch unter hohen Datenverkehrslasten.

Verwaltete Kontrollpanels

Wenn Sie einen GUI-basierten Ansatz zur SSL-Verwaltung bevorzugen, bietet VPS mit cPanel eine optimierte Schnittstelle zum Installieren von SSL-Zertifikaten, Verwalten von Schlüsseldateien und Aktivieren von AutoSSL – alles ohne die Befehlszeile zu berühren.

Shared Hosting

Für kleinere Websites und persönliche Projekte enthalten Shared Web Hosting-Pläne SSL-Unterstützung, was es einfach macht, Ihre Website zu sichern, ohne Serveradministrationskenntnisse zu haben.

15% auf alle Hosting-Dienste sparen