Wie Usenet SSL-Verschlüsselung funktioniert: Ports, TLS und 256-Bit-Sicherheit

SSL (Secure Sockets Layer) und sein Nachfolger TLS (Transport Layer Security) verschlüsseln die Verbindung zwischen Ihrem Newsreader und dem Usenet-Server. Wenn Sie sich mit NewsDemon auf Port 563 verbinden, etabliert ein TLS-Handshake einen verschlüsselten Tunnel. Alles, was durch diesen Tunnel läuft - Ihre Anmeldedaten, die Newsgroups, auf die Sie zugreifen, die Artikel, die Sie herunterladen, die Beiträge, die Sie veröffentlichen - ist verschlüsselt und für niemanden zwischen Ihnen und dem Server lesbar. Das umfasst Ihren ISP, Ihren Netzwerkadministrator und jeden, der in Ihrem WLAN schnüffelt.

Unsere Sicherheitsübersicht behandelt die Grundlagen. Diese Seite geht tiefer darauf ein, wie SSL/TLS bei Usenet-Verbindungen tatsächlich funktioniert.

Port 563 (SSL/TLS) - Immer verwenden

Port 563 ist der Standard-NNTP-über-SSL-Port. Wenn Ihr Newsreader auf diesem Port verbindet, erfolgt der TLS-Handshake, bevor NNTP-Befehle gesendet werden. Alles ist vom ersten Byte an verschlüsselt. Dies ist der Port, den Sie für alle Verbindungen zu NewsDemon verwenden sollten.

Port 443 (Alternativer SSL) - Backup-Option

Port 443 ist der Standard-HTTPS-Port. Einige ISPs oder Unternehmens-Firewalls blockieren Port 563, lassen aber 443 offen, weil dieser für normales Web-Browsing verwendet wird. Wenn Sie sich nicht auf Port 563 verbinden können, versuchen Sie 443. Die Verschlüsselung ist identisch; nur die Portnummer ändert sich.

Port 119 (unverschlüsselt) - Nicht verwenden

Port 119 ist der ursprüngliche NNTP-Port ohne Verschlüsselung. Ihr ISP kann alles sehen: welche Newsgroups Sie aufrufen, welche Artikel Sie herunterladen, Ihren Benutzernamen und Ihr Passwort. Es gibt im Jahr 2026 keinen Grund, Port 119 zu verwenden. Einige ISPs drosseln aktiv den Datenverkehr auf diesem Port, weil sie ihn als Usenet identifizieren können.

Wenn Ihr Newsreader sich mit NewsDemon auf Port 563 verbindet, passiert im Hintergrund Folgendes:

1. Client Hello. Ihr Newsreader sendet eine Nachricht mit den unterstützten TLS-Versionen und Cipher-Suiten.

2. Server Hello. NewsDemon antwortet mit der gewählten TLS-Version und Cipher-Suite sowie seinem SSL-Zertifikat.

3. Zertifikatsprüfung. Ihr Newsreader prüft, ob das Zertifikat gültig ist, von einer vertrauenswürdigen Stelle ausgestellt wurde und mit dem Server-Hostnamen übereinstimmt.

4. Schlüsselaustausch. Beide Seiten generieren einen gemeinsamen Sitzungsschlüssel mit asymmetrischer Kryptographie. Dieser Sitzungsschlüssel ist für Ihre Verbindung eindeutig.

5. Verschlüsselte Sitzung beginnt. Alle nachfolgenden Daten (NNTP-Befehle, Artikelübertragungen, Authentifizierung) werden mit dem Sitzungsschlüssel unter Verwendung eines symmetrischen Chiffrierers wie AES-256 verschlüsselt.

Der gesamte Prozess dauert Millisekunden. Sie bemerken keine Verzögerung. Der Verschlüsselungs-Overhead auf moderner Hardware ist vernachlässigbar, typischerweise unter 1% der CPU und ohne messbare Auswirkung auf den Durchsatz.

Im April 2026 hat NewsDemon X25519MLKEM768 hybriden Post-Quantum-Schlüsselaustausch auf allen NNTP-Servern eingeführt. Dieses hybride Verfahren kombiniert den klassischen elliptischen Kurven-Schlüsselaustausch X25519 mit dem gitterbasierten ML-KEM-768-Algorithmus (standardisiert durch das NIST im Jahr 2024). Das Ergebnis: Schutz sowohl gegen klassische als auch gegen zukünftige Angriffe mit Quantencomputern.

Wenn Ihr Usenet-Client OpenSSL 3.5.0 oder neuer verwendet, wird der Post-Quantum-Handshake automatisch ausgehandelt. Ältere Clients fallen nahtlos auf Standard-X25519 zurück. Es sind keine Konfigurationsänderungen erforderlich.

Warum das wichtig ist: Ein Angreifer, der heute Ihren verschlüsselten Datenverkehr erfasst, könnte ihn speichern und später entschlüsseln, wenn Quantencomputer verfügbar werden. Post-Quantum-Schlüsselaustausch schützt vor diesem "Harvest Now, Decrypt Later"-Angriff. Ihre Usenet-Sitzungen bleiben dauerhaft privat. Alle technischen Details lesen (Englisch).

NewsDemon unterstützt 256-Bit-AES-Verschlüsselung. AES-256 ist dieselbe Chiffre, die von Banken, Regierungen und militärischer Kommunikation verwendet wird. Die "256-Bit" beziehen sich auf die Schlüssellänge: Es gibt 2^256 mögliche Schlüssel, eine Zahl, die so groß ist, dass Brute-Force-Knacken mit jeder existierenden oder absehbaren Technologie rechnerisch unmöglich ist.

Praktisch gesehen: Niemand entschlüsselt Ihren Usenet-Verkehr. Nicht Ihr ISP, nicht ein Hacker in Ihrem WLAN, nicht eine Regierungsbehörde, die passive Überwachung durchführt. Die Mathematik macht es unmöglich ohne den Sitzungsschlüssel, den nur Ihr Computer und der NewsDemon-Server haben.

SSL schützt den Inhalt. Ihr ISP kann nicht sehen, was Sie herunterladen, welche Newsgroups Sie besuchen oder Ihre Anmeldedaten. Er kann sehen, dass Sie sich mit news.newsdemon.com verbinden, aber nichts darüber, was innerhalb dieser Verbindung passiert.

Ein VPN schützt das Ziel. Mit einem aktivierten VPN kann Ihr ISP nicht einmal sehen, dass Sie sich mit einem Usenet-Server verbinden. Er sieht nur eine Verbindung zum VPN-Server. Das VPN umschließt die SSL-Verbindung, sodass Sie zwei Verschlüsselungsebenen erhalten.

Für die meisten Nutzer reicht SSL allein. Ein VPN bietet zusätzlichen Wert, wenn Ihr ISP Usenet-Verkehr drosselt, wenn Sie sich in einem nicht vertrauenswürdigen Netzwerk befinden oder wenn Sie verbergen möchten, dass Sie Usenet überhaupt nutzen.

Einige ISPs verwenden Deep Packet Inspection (DPI), um bestimmte Verkehrsarten zu identifizieren und zu drosseln. Unverschlüsselter NNTP-Verkehr auf Port 119 ist leicht zu identifizieren und zu drosseln. SSL-verschlüsselter Verkehr auf Port 563 ist für DPI viel schwieriger zu klassifizieren, weil der Inhalt verschlüsselt ist.

Wenn Sie vermuten, dass Ihr ISP Usenet drosselt, besteht der erste Schritt darin, sicherzustellen, dass Sie SSL verwenden. Wenn Sie bereits SSL verwenden und immer noch langsame Geschwindigkeiten sehen, versuchen Sie Port 443 (schwieriger für ISPs zu blockieren, ohne allen HTTPS-Verkehr zu unterbrechen). Wenn das nicht hilft, umgeht ein VPN die ISP-Drosselung vollständig.