SSL-Verschlüsselung von Behörden-Websites
Golem.de berichtete am 18.03.2015, dass die US-Behörden ihre Websites bald nur noch mit HTTPS verschlüsselt ausliefern wollen. Mehr Informationen gibt es auf der Webseite des Chief Information Officers.
Ich habe die SSL-Verschlüsselung von 40 Websites deutscher Bundesbehörden analysiert. Fazit: Die Webserver können in der Regel verschlüsseln, genutzt wird dies aber nicht.
Die Ergebnisse:
- Nur 2 von untersuchten 40 Websites (5 %), namentlich die Webauftritte des BSI und des Statistische Bundesamtes, verschlüsseln alle Seitenaufrufe.
- Die anderen 38 Websites (95 %) sind standardmäßig über HTTP erreichbar; eine HTTP-Anfrage leitetet nicht auf HTTPS weiter. Selbst wenn man bei der URL explizit das „s“ für eine HTTPS-Verbindung ergänzt, erfolgt nur der eine Seitenaufruf verschlüsselt. Klickt man nun auf einen der internen (HTTP-)Links, erfolgt die Verbindung beim Aufruf der nächsten Seite wieder unverschlüsselt.
Bei fast allen Websites erfolgen also sämtliche Seitenzugriffe unverschlüsselt, da die meisten Nutzer nicht manuell oder automatisiert via Browser-Addon (z. B. HTTP Nowhere) zur HTTPS-Version wechseln.
Dabei unterstützen die meisten Webserver sogar HTTPS, was aber nicht so viel bringt, wenn die Websites meistens gar nicht mit HTTPS ausgeliefert werden:
- 85 % (34) verfügen über ein gültiges SSL-Zertifikat.
- 70 % (28) unterstützen die neuste TLS-Version 1.2.
- 55 % (22) unterstützen Perfect Forward Secrecy (PFS).
Aber vieles ist sehr verbesserungswürdig:
- 12,5 % (5) unterstützen noch das veraltete SSL 3.0.
- 15 % (6) sind anfällig für Angriffe, welche die Sicherheitslücke POODLE ausnutzen.
- 42,5 % (17) verwenden noch RC4, das als gebrochen gilt.
Die kompletten Ergebnisse gibt es hier als OpenDocument Tabellendokument.