ECC (Elliptic Curve Cryptography) und RSA sind zwei Algorithmen, die zur Erzeugung von SSL-Zertifikat-Schluesselpaaren verwendet werden. Beide sind sicher, aber ECC erzeugt kleinere Schluessel mit gleichwertiger Sicherheit und schnellere TLS-Handshakes. Die meisten modernen Deployments sollten ECC verwenden.
Schnellvergleich
| ECC (P-256) | RSA 2048 | RSA 4096 | |
|---|---|---|---|
| Schluesselgroesse | 256 Bits | 2048 Bits | 4096 Bits |
| Aequivalente Sicherheit | ~128-Bit | ~112-Bit | ~128-Bit |
| TLS-Handshake-Geschwindigkeit | Am schnellsten | Mittel | Am langsamsten |
| Zertifikatsgroesse | ~500 Bytes | ~1.200 Bytes | ~2.400 Bytes |
| Schluesselerzeugung | Schnell | Mittel | Langsam |
| Browser-Unterstuetzung | Alle modernen Browser | Universell | Universell |
| Let’s Encrypt Standard | ✅ Empfohlen | Unterstuetzt | Unterstuetzt |
| GetHTTPS Standard | ✅ P-256 | Verfuegbar | Nicht angeboten |
Warum ECC fuer die meisten Anwendungsfaelle besser ist
Kleinere Schluessel, gleiche Sicherheit
Ein 256-Bit-ECC-Schluessel bietet eine Sicherheit, die einem 3072-Bit-RSA-Schluessel entspricht. Kleinere Schluessel bedeuten:
- Kleinere Zertifikate → weniger Daten, die waehrend des TLS-Handshakes uebertragen werden
- Schnellere Signaturverifizierung → reduzierte CPU-Last
- Geringere Bandbreite → wichtig fuer stark frequentierte Websites und mobile Verbindungen
Schnellere Handshakes
ECDSA-Signaturoperationen sind deutlich schneller als RSA, besonders auf der Serverseite. Fuer stark frequentierte Websites reduziert dies die CPU-Auslastung und die Time-to-First-Byte.
Forward Secrecy
Modernes TLS verwendet ECDHE (Ephemeral Elliptic Curve Diffie-Hellman) fuer den Schluesselaustausch, unabhaengig von Ihrem Zertifikatstyp. Aber ECC-Zertifikate passen natuerlich zu ECDHE — der gesamte Handshake nutzt Elliptic-Curve-Mathematik, was effizienter ist als die Kombination von RSA und ECDHE.
Wann RSA noch sinnvoll ist
Kompatibilitaet mit aelteren Geraeten
Einige aeltere Geraete, Embedded Systems und IoT-Hardware unterstuetzen kein ECC. Wenn Sie Folgendes unterstuetzen muessen:
- Windows XP SP2 oder frueher
- Sehr alte Android-Versionen (< 4.0)
- Bestimmte Embedded Systems oder Hardware-Load-Balancer
…dann ist RSA 2048 die sichere Wahl.
Organisatorische Anforderungen
Einige Compliance-Frameworks oder interne Richtlinien koennen RSA vorschreiben. Das wird zunehmend seltener, aber pruefen Sie Ihre Anforderungen.
Adoption in der Praxis
Die Branche migriert von RSA zu ECC:
| Organisation | Schluesseltyp | Anmerkungen |
|---|---|---|
| ECDSA P-256 | Alle Google-Dienste | |
| Cloudflare | ECDSA P-256 | Standard fuer alle Free-Plan-Zertifikate |
| Facebook / Meta | ECDSA P-256 | Produktions-Webserver |
| Let’s Encrypt | Empfiehlt ECDSA | Stellt beide aus, empfiehlt ECC |
| ZeroSSL | ECDSA waechst | ECC-Ausstellung um 51,1 % gestiegen (schnellstes Wachstum aller CAs) |
Wie Sie pruefen, was Ihre Website verwendet
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null \
| openssl x509 -noout -text | grep "Public Key Algorithm"
# ECDSA: "id-ecPublicKey"
# RSA: "rsaEncryption"
Oder pruefen Sie in Ihrem Browser: Schloss → Zertifikat → Details → Subject Public Key Info.
Was GetHTTPS verwendet
GetHTTPS erzeugt standardmaessig ECDSA P-256-Schluessel fuer Zertifikate und P-256 fuer ACME-Account-Schluessel. Sie koennen RSA 2048 fuer den Zertifikatsschluessel auswaehlen, falls erforderlich.
P-256 (auch prime256v1 oder secp256r1 genannt) ist:
- Von allen modernen Browsern und Servern unterstuetzt
- Von Let’s Encrypt empfohlen
- Von den meisten stark frequentierten Websites verwendet (Google, Cloudflare usw.)
- In der Web Crypto API unterstuetzt (die GetHTTPS fuer die Schluesselerzeugung verwendet)
Post-Quantum-Ueberlegungen
Weder ECC noch RSA sind quantensicher. Ein ausreichend leistungsfaehiger Quantencomputer koennte beide mit Shors Algorithmus brechen. Die Branche bereitet sich vor, indem sie Post-Quantum-Schluesselaustausch (ML-KEM, frueher Kyber) fuer TLS entwickelt, der zusammen mit bestehenden Algorithmen in einem Hybrid-Modus verwendet wird.
Das hat keinen Einfluss auf Ihre Zertifikatswahl heute — die Migration zu Post-Quantum wird auf Protokollebene (TLS) stattfinden, nicht auf Zertifikatsebene. Verwenden Sie jetzt ECC und lassen Sie den TLS-Stack den Uebergang handhaben.
Haeufig gestellte Fragen
Kann ich von RSA zu ECC wechseln (oder umgekehrt)?
Ja. Erzeugen Sie ein neues Zertifikat mit dem gewuenschten Schluesseltyp und ersetzen Sie die Dateien auf Ihrem Server. Dem Server ist es egal, welchen Algorithmus fruehere Zertifikate verwendet haben.
Braucht mein Webserver eine spezielle Konfiguration fuer ECC?
Nein. Nginx und Apache behandeln ECC-Zertifikate genauso wie RSA — gleiche Direktiven, gleiches Dateiformat (PEM). Der Server erkennt den Schluesseltyp automatisch.
Ist P-384 besser als P-256?
P-384 bietet ~192-Bit-Sicherheit gegenueber ~128-Bit bei P-256. In der Praxis liegt 128-Bit-Sicherheit weit jenseits dessen, was heute (oder in absehbarer Zukunft) knackbar ist. P-256 ist schneller und staerker optimiert. Sofern Sie keine spezifische Compliance-Anforderung fuer P-384 haben, verwenden Sie P-256.