SSL-Verschlüsselung von Behörden-Websites

Veröffentlicht am unter Verschlüsselung

Golem.de berichtete am 18.03.2015, dass die US-Behörden ihre Websites bald nur noch mit HTTPS verschlüsselt ausliefern wollen. Mehr Informationen gibt es auf der Webseite des Chief Information Officers.

Ich habe die SSL-Verschlüsselung von 40 Websites deutscher Bundesbehörden analysiert. Fazit: Die Webserver können in der Regel verschlüsseln, genutzt wird dies aber nicht.

Die Ergebnisse:

  • Nur 2 von untersuchten 40 Websites (5 %), namentlich die Webauftritte des BSI und des Statistische Bundesamtes, verschlüsseln alle Seitenaufrufe.
  • Die anderen 38 Websites (95 %) sind standardmäßig über HTTP erreichbar; eine HTTP-Anfrage leitetet nicht auf HTTPS weiter. Selbst wenn man bei der URL explizit das „s“ für eine HTTPS-Verbindung ergänzt, erfolgt nur der eine Seitenaufruf verschlüsselt. Klickt man nun auf einen der internen (HTTP-)Links, erfolgt die Verbindung beim Aufruf der nächsten Seite wieder unverschlüsselt.

Bei fast allen Websites erfolgen also sämtliche Seitenzugriffe unverschlüsselt, da die meisten Nutzer nicht manuell oder automatisiert via Browser-Addon (z. B. HTTP Nowhere) zur HTTPS-Version wechseln.

Dabei unterstützen die meisten Webserver sogar HTTPS, was aber nicht so viel bringt, wenn die Websites meistens gar nicht mit HTTPS ausgeliefert werden:

  • 85 % (34) verfügen über ein gültiges SSL-Zertifikat.
  • 70 % (28) unterstützen die neuste TLS-Version 1.2.
  • 55 % (22) unterstützen Perfect Forward Secrecy (PFS).

Aber vieles ist sehr verbesserungswürdig:

  • 12,5 % (5) unterstützen noch das veraltete SSL 3.0.
  • 15 % (6) sind anfällig für Angriffe, welche die Sicherheitslücke POODLE ausnutzen.
  • 42,5 % (17) verwenden noch RC4, das als gebrochen gilt.

Die kompletten Ergebnisse gibt es hier als OpenDocument Tabellendokument.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.