stunnel
stunnel ist ein schlanker TLS-Wrapper, der unsichere TCP-Dienste mit moderner Verschlüsselung schützt, ohne dass du die eigentliche Anwendung umbauen musst. Kurz: Du stellst stunnel davor, es übernimmt die TLS-Schicht, und dein alter Dienst bleibt unberührt. Im Folgenden erfährst du, wie das funktioniert, welche Features wichtig sind, für wen sich stunnel lohnt und worauf du beim Setup achten solltest.
Vorteile
- Schlanker TLS/SSL-Wrapper für bestehende Dienste
- Cross-Platform und als Windows-Dienst nutzbar
- Starke Sicherheitsfeatures wie FIPS, OCSP, PSK, SNI und PFS
Nachteile
- Konfiguration hauptsächlich per Textdatei statt moderner GUI
- Voraussetzung: Verständnis für Zertifikate und TLS
- Weniger Protokollintelligenz als vollwertige Reverse Proxys
Was ist stunnel?
stunnel kapselt unverschlüsselte TCP-Verbindungen in eine TLS/SSL-Schicht. Das ist ideal, wenn dein Dienst selbst keine Verschlüsselung kann oder du Clients nicht umkonfigurieren willst. Du legst die Kryptografie vor die Anwendung und hältst so Komplexität und Risiko fern vom Kernservice.
So funktioniert es
stunnel sitzt als Proxy zwischen Client und Zielanwendung. Es akzeptiert eine verschlüsselte Verbindung auf einem Port und leitet den Verkehr intern im Klartext an den eigentlichen Dienst weiter (oder umgekehrt als Client-Mode). Die Logik ist simpel: accept (wo stunnel lauscht), connect (wohin weitergeleitet wird), plus Zertifikate und Richtlinien. Genau diese Schlichtheit macht es robust und schnell.
Hauptfunktionen
- Breite Protokollunterstützung für gängige TCP-Dienste wie SMTP, IMAP, POP3, HTTP(S) via CONNECT, SOCKS u.v.m.
- Sicherheitsfeatures: PSK und Zertifikatsauthentifizierung, OCSP/CRL, SNI, PFS über DH/ECDH, optionaler FIPS-Modus.
- Skalierung: Load Balancing per Round-Robin/Priorität, externer Session-Cache für Cluster.
- Windows-Integration: GUI-Helferlein, Service-Modus, Zertifikatsketten-Cache; auf Unix: systemd, chroot, setuid/setgid, Syslog.
- IPv6, Graceful Reload von Konfiguration und Logs, UTF-8-fähige Configs.
Ein kurzer Praxisblick
Du betreibst noch einen betagten SMTP-Server, der nur Port 25 ohne TLS spricht. Statt den Mail-Stack umzubauen, setzt du stunnel davor: accept 465 (TLS), connect 25 (intern). Von außen wirkt alles modern verschlüsselt, intern bleibt dein Setup unverändert. Das spart Zeit, Nerven und verhindert Ausfälle.
Installation und Setup
Unter Windows installierst du den Dienst bequem und lässt ihn beim Booten starten. Die Konfiguration geschieht über eine stunnel.conf mit klaren Schlüssel-Wert-Optionen. Wichtig: ein gültiges X.509-Zertifikat (Datei oder Provider) und sauber gesetzte Cipher-Policies. Auf Linux und macOS läuft stunnel als Daemon und integriert sich sauber in die bestehende Service-Verwaltung.
Sicherheit und Compliance
stunnel bringt aktuelle TLS-Stacks und strenge Prüfmechanismen mit. Du kannst Zertifikatsketten validieren, OCSP-Stapling nutzen, Revocations prüfen und Policies erzwingen. Für regulierte Umgebungen ist der FIPS-Modus wertvoll. Außerdem unterstützt stunnel moderne Schlüsselvereinbarungen und starke Cipher Suites für zukunftsfähige Verbindungen.
Performance und Betrieb
Mit Load Balancing verteilst du Verbindungen auf mehrere Backends. Der externe Session-Cache senkt TLS-Handshake-Kosten in Cluster-Setups. Logs sind detailliert, sodass du Fehlerursachen wie Zertifikatsprobleme oder SNI-Mismatches schnell findest. Durch die schlanke Architektur bleibt der Overhead gering.
Warum du es brauchst
Weil du Alt-Systeme sicher betreiben willst, ohne sie neu zu schreiben. Weil du Dienste schnell TLS-fähig machen möchtest. Und weil du eine Lösung willst, die vorhersagbar funktioniert, gut dokumentiert ist und auf nahezu jeder Plattform läuft.
Grenzen und Alternativen
stunnel ist absichtlich schlank. Es ersetzt keinen vollwertigen Reverse Proxy mit HTTP-Parsing oder WAF-Funktionen. Wenn du L7-Routing, umfangreiche Observability oder integriertes Rate Limiting brauchst, könnten Alternativen wie HAProxy, Nginx Stream oder Hitch besser passen. Für das schnelle, sichere Nachrüsten von TLS ist stunnel jedoch oft die klarste Wahl.
Fazit
Wenn dir Sicherheit ohne Reibung wichtig ist, liefert stunnel genau das: wenig Schnickschnack, viel Substanz. Einmal sauber konfiguriert, läuft es jahrelang unauffällig und zuverlässig im Hintergrund - genau so, wie ein Sicherheitsbaustein sein sollte.
Häufig gestellte Fragen:
Ist stunnel kostenlos nutzbar?
Ja, stunnel ist Open Source unter GPL mit OpenSSL-Ausnahme und darf in vielen Szenarien frei eingesetzt werden. Prüfe bei kommerziellen Bundles stets deine Lizenzsituation.
Kann ich stunnel auch als Client nutzen?
Ja. Neben dem Server-Modus gibt es einen Client-Modus, mit dem du ausgehende Verbindungen per TLS kapselst.
Wie aktualisiere ich sicher?
Lege vor Updates ein Backup der stunnel.conf an, prüfe Changelog-Hinweise zu TLS-Defaults und teste die neue Version in einer Staging-Umgebung.
Welche Zertifikate werden unterstützt?
Üblich sind X.509-Zertifikate im PEM-Format. stunnel kann Zertifikatsketten laden und Validierungen wie OCSP nutzen.
Läuft stunnel in Containern?
Ja. Durch die schlanke Architektur eignet es sich gut für Container; binde Zertifikate sicher als Secrets ein und beobachte die Logs für Rotationen.
Eigenschaften der Software
Rating:
Name:
stunnel
Lizenzart:
Open Source (GPLv2+ mit OpenSSL-Ausnahme)
System:
Windows, macOS, Linux, Android
Sprache:
English
Update:
21.01.2026
Latest Version:
5.76
Die neusten Downloads
Neuigkeiten & Trends
- ClickFix-Kampagne: Amatera-Infostealer über gefälschte CAPTCHA und missbrauchte Microsoft App-V-Skripte
- Hohe Verbreitung von Windows 10 in deutschen Privathaushalten: Zahlen, Support-Ende und Sicherheitsrisiken bis 2026
- Microsoft Purview Data Security Investigations (KI-gestützte Analyse und präventive Risikoerkennung)