Start of Main Content

Sicheres HTTP (HTTPS)

Letzter Update: 14. Oktober 2018

Diese Daten zeigen, ob Domains deutscher Behörden das HTTPS-Protokoll (https://) unterstützen, und - falls ja - wie stark diese Unterstützung ist. HTTPS ermöglicht eine sichere Verbindung zwischen Webseiten und ihren Besuchern und wird zum Mindeststandard für öffentliche Web-Services. So empfiehlt auch das BSI den Einsatz von HTTPS als Mindeststandard für die öffentliche Verwaltung.

Auch wenn HTTPS eingesetzt wird, bedeutet das nicht, dass eine Webseite nicht trotzdem gehackt werden kann. Für mehr Informationen, was HTTPS tut (und was es nicht tun kann), besuche die HTTPS FAQ (in Englisch).

Was bedeuten die Daten an den Domains? Warum braucht man HTTPS? Diese und weitere Fragen werden auch in der FAQ beantwortet.

Welche Domains werden überprüft?

Aktuell werden Domains aus dem german-gov-domains-Datensatz verwendet. Woher diese genau stammen, steht auf der Projektseite.

Es werden die vier "Endpunkte" jeder Domain überprüft: http://, http://www., https:// und https://www.

Es werden auch Domains überprüft, die nur auf eine andere Domain weiterleiten.

Diese Überprüfungen erfolgen mit Hilfe von Open Source Tools.

Felder

  • Bietet HTTPS
  • Möglichkeiten: Nein, Ja
  • Ob eine Webseite mit HTTPS benutzt werden kann, entweder direkt auf der Domain oder der www-Subdomain.
    Seiten, die von HTTPS auf HTTP umleiten zählen als unsicher und bekommen ein Nein.
  • Erzwingt HTTPS
  • Möglichkeiten: Nein, Ja
  • Ob eine Webseite standardmäßig HTTPS bietet. Dies kann passieren, indem HTTP auf HTTPS umleitet oder sogar nur über HTTPS verfügbar gemacht wird.
  • Strict Transport Security (HSTS)
  • Möglichkeiten: Nein, Ja
  • Ob eine Domain HTTP Strict Transport Security implementiert. Dies bedeutet, dass unterstütze Browser nur noch über HTTPS mit einer Domain kommunizieren, selbst wenn man auf einen HTTP-Link klickt.
  • "Ja" bedeutet, dass ein Strict-Transport-Security-Header ausgeliefert wird.
  • Frei von veralteter/unsicherer Crypto:
  • Möglichkeiten: Ja, "Nein, nutzt [...]"
  • "Ja" bedeutet, dass eine Verbindung nicht mittels den veralteteten/unsicheren Verschlüsselungsverfahren RC4/3DES und SSLv2/SSLv3 stattfinden kann.
  • "Nein, nutzt [...]" zeigt, welche Verschlüsselungsverfahren und Protokolle verwendet werden, die bekannte Schwachstellen enthalten.
  • Preloaded (empfohlen)
  • Möglichkeiten: Nein, Vorbereitet, Ja
  • Vorbereitet bedeutet, dass auf dieser Domain ein HSTS-Header ausgeliefert wird, der für alle Subdomains gilt und für preloading markiert ist. Damit kann nun eine Eintragung in die Browserlisten beantragt werden.
  • Ja bedeutet, dass diese Domain vorbereitet ist (siehe oben) und bereits in der öffentlich verfügbaren Chrome preload Liste eingetragen ist.