SSL-Verschlüsselung von 88 Websites im Test: viel Luft nach oben

Veröffentlicht am unter Verschlüsselung

Heute habe ich die Verschlüsselung von 88 häufig besuchten Webauftritten untersucht, die alle unter den Top 100 der meistbesuchten Websites in Deutschland sind1. Die Ergebnisse dieser Analyse stelle ich hier vor.

Von den 88 Websites erzwingen nur 31 eine verschlüsselte Verbindung (HTTPS), indem sie Aufrufe über HTTP auf HTTPS weiterleiten. Insgesamt unterstützen immerhin 69 der 88 Websites (78 %) eine verschlüsselte Verbindung; 19 Websites sind hingegen gar nicht über HTTPS erreichbar.

Details zu den verschlüsselten Websites

Keine der 69 untersuchten Websites erreicht die Bestnote A+.
Keine der 69 untersuchten Websites erreicht die Bestnote A+. Häufigste Note ist B.

Von den 69 Websites, die über HTTPS erreichbar sind,

  • unterstützen 66 Websites (95,6 %) die neueste Version TLS 1.2.
  • unterstützen 9 Websites (13,0 %) immer noch eine der veralteten Versionen SSL 2 oder SSL 3 (oder sogar beide).
  • unterstützen nur 34 Websites (49,3 %) Perfect Forward Secrecy (PFS). PFS verhindert, dass frühere Verbindungen nachträglich noch entschlüsselt werden können.
  • sind 2 Websites nicht gegen Angriffe geschützt, welche die Sicherheitslücke POODLE ausnutzen (postbank.de und arbeitsagentur.de).
  • erhält keine die Bestnote A+ im Test der Qualys SSL Labs, aber 25 (36,2 %) die zweitbeste Note A.

Der Qualys SSL Labs Test prüft Webserver vollständig auf die Unterstützung von SSL/TLS-Versionen und PFS sowie diverse Sicherheitslücken. Das Diagramm zeigt die Verteilung der Noten bei der Analyse der 69 verschlüsselten Websites:

  • 25x Note A
  • 7x Note A-
  • 35x Note B
  • 2x Note C

Mit Hilfe des Firefox-Addons Calomel (Download bei Mozilla) kann man als Webnutzer automatisch die SSL-Verbindung aller besuchten Websites untersuchen und sich das Ergebnis neben der URL in der Toolbar anzeigen lassen. Dabei ist sehr sichere Verschlüsselung an einem grünen Icon, etwas weniger sichere an einem blauen Icon erkennbar. Ist eine Website nicht sicher verschlüsselt oder übermittelt eingebundene Bilder/Videos unverschlüsselt, ist dies an dem roten Icon erkennbar.

Qualys-Noten als Diagramm
Keine der 69 untersuchten Websites erreicht die Bestnote A+.

Das Diagramm zeigt wieder die Verteilung bei den 69 untersuchten Websites:

  • 16x Bewertung „very strong“ (grün, 93 oder 100 %)
  • 14x Bewertung „strong“ (blau, 81, 84 oder 88 %)
  • 39x Bewertung „very weak“ (rot, 0, 44 oder 56 %)

Dass Calomel insgesamt 32 Websites mit 0 % bewertet, liegt daran, dass alle Websites, die keine PFS unterstützen oder veraltete SHA-1-Zertifikate besitzen allein aufgrund dieser Tatsache – völlig zu Recht – als unsicher bewertet werden.

Die kompletten Testergebnisse gibt es hier als OpenDocument Tabellendokument (ods).

Fußnote

  1. Die Auswahl der untersuchten Websites ergab sich aus der Liste der 100 in Deutschland am häufigsten besuchten Webauftritten laut Alexa, wobei ich Websites mit pornographischen Inhalten oder einer Weiterleitung auf eine andere Seite entfernt habe, sodass noch die besagten 88 Websites übrig blieben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.