Defaults.Exposed › Berichte
Schwaches und veraltetes TLS: Liefert Ihre Website noch alte Verschlüsselung aus? (2026)
Veröffentlicht 2026-07-01
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains; die TLS-Versionszahlen sind der Anteil der über HTTPS erreichbaren Domains. TLS ist das Protokoll hinter dem Schloss-Symbol; “schwach” bedeutet alte Versionen oder Cipher, denen Browser und Prüfer nicht mehr vertrauen. Siehe wie wir bewerten.
Das Web hat sich weitgehend von alter Verschlüsselung verabschiedet — doch ein starkes Schloss-Symbol ist nicht garantiert, und das schwache Glied ist heute häufiger das Zertifikat als das Protokoll. Von den über HTTPS erreichbaren Websites handeln inzwischen 90,51% modernes TLS 1.3 aus, und die große Mehrheit des Rests nutzt TLS 1.2. Schwache Protokollversionen sind also die Ausnahme, nicht die Regel. Wo “schwaches TLS” noch zubeißt, ist subtiler: Server, die stillschweigend weiterhin alte Versionen, schwache Cipher und — am häufigsten — Zertifikate akzeptieren, die schlicht fehlerhaft sind. So erkennen Sie, ob Sie die Ausnahme sind.
Was “schwaches TLS” 2026 bedeutet
- Veraltete Protokollversionen. TLS 1.0 und 1.1 wurden 2021 abgekündigt. Als ausgehandelte Version sind sie heute selten — aber ein Server kann standardmäßig TLS 1.3 verwenden und gleichzeitig auf Anfrage weiterhin einen Downgrade auf 1.0 akzeptieren, was Prüfungen bemängeln.
- Schwache Cipher-Suites. Alte Algorithmen (RC4, 3DES, Export-Cipher) und fehlende Forward Secrecy schwächen eine Verbindung selbst bei einer modernen Version.
- Ein fehlerhaftes Zertifikat. Das ist der häufige Fall: Verschlüsselungsstärke und Zertifikatsgültigkeit sind zwei verschiedene Dinge, und ein gültiger TLS-1.3-Handshake mit einem ungültigen Zertifikat zeigt Besuchern trotzdem eine Warnung. 8,21% der Domains, die ein Zertifikat präsentieren, liefern ein ungültiges aus — siehe mein Zertifikat ist abgelaufen.
Wo das Web tatsächlich steht
Beste ausgehandelte TLS-Version, Anteil der über HTTPS erreichbaren Domains, mit Stand 2026-06-29:
| Beste TLS-Version | Anteil |
|---|---|
| TLS 1.3 (aktuell) | 90,51% |
| TLS 1.2 (akzeptabler Mindeststandard) | 5,38% |
| TLS 1.1 / 1.0 (abgekündigt) | 0,00% |
Protokollseitig ist das Bild gesund. Die Lücke liegt inzwischen woanders: 8,21% der Zertifikate sind ungültig, und nur 78,02% aller Domains liefern überhaupt HTTPS aus — ein Fünftel des Webs ist also von vornherein gar nicht verschlüsselt.
Warum es weiterhin zählt, obwohl die meisten Websites in Ordnung sind
- Compliance-Anforderungen. PCI-DSS, viele Sicherheitsfragebögen und behördliche Grundanforderungen verlangen TLS 1.2+ und dass alte Versionen und schwache Cipher aktiv deaktiviert sind — nicht nur standardmäßig ungenutzt. Siehe was Fragebögen prüfen.
- Downgrade-Anfälligkeit. Wenn ein Server weiterhin eine alte Version akzeptiert, kann ein Angreifer versuchen, eine schwächere Verbindung zu erzwingen, als beide Seiten wollten.
- Verborgenes Risiko. Schwaches, aber vorhandenes TLS und ein noch akzeptierter alter Cipher lösen selten eine Browserwarnung aus, sodass sie bestehen bleiben, bis jemand aktiv prüft.
So stellen Sie sicher, dass Ihr TLS stark ist
- Setzen Sie die Mindestversion auf TLS 1.2 und aktivieren Sie TLS 1.3 auf dem Server oder CDN — und bestätigen Sie, dass alte Versionen abgelehnt und nicht nur ungenutzt sind. Siehe TLS reparieren.
- Modernisieren Sie die Cipher — bevorzugen Sie Suites mit Forward Secrecy; entfernen Sie RC4, 3DES und Export-Grade-Cipher.
- Halten Sie das Zertifikat gültig — der häufigere Fehler. Siehe Zertifikatsfehler beheben.
- Erzwingen Sie HTTPS und fügen Sie HSTS hinzu, damit Downgrades auf einfaches HTTP abgelehnt werden.
- Testen Sie von außen erneut — schwaches TLS ist im Browser unsichtbar, bestätigen Sie es also mit einer externen Prüfung.
Häufig gestellte Fragen
Ist mein TLS veraltet? Wahrscheinlich nicht von der Version her — 90,51% der HTTPS-Websites nutzen TLS 1.3. Die wahrscheinlichere Schwäche ist ein Zertifikatsproblem (8,21% der Zertifikate sind ungültig) oder ein Server, der hinter einem modernen Standard weiterhin alte Versionen akzeptiert.
Ist TLS 1.2 noch in Ordnung? Ja — TLS 1.2 ist ein akzeptabler Mindeststandard und TLS 1.3 ist vorzuziehen. Bedenklich ist, wenn irgendetwas unterhalb von 1.2 noch akzeptiert wird.
Sperrt das Deaktivieren von altem TLS ältere Besucher aus? Nur sehr wenige moderne Clients benötigen TLS 1.0/1.1; die Kompatibilitätskosten sind heute minimal gegenüber dem Compliance- und Sicherheitsvorteil.
Zeigt schwaches TLS eine Browserwarnung? Ein schwaches Protokoll oder ein schwacher Cipher meist nicht — es zeigt sich in Audits und Scans. Ein fehlerhaftes Zertifikat hingegen warnt Besucher direkt.
Ist die Behebung kostenlos? Ja — es ist eine Server- oder CDN-Konfigurationsänderung, kein Kauf.
Prüfen Sie Ihre TLS-Konfiguration kostenlos
Sehen Sie Ihre TLS-Versionen, Cipher-Stärke und den Zertifikatsstatus — vertraulich und nur für den Eigentümer.
Prüfen Sie Ihre Domain → · TLS reparieren → · Warum sagt meine Website “Nicht sicher”? → · Wie wir bewerten → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.