Hinweise zum HTTPS-Check

1. Objekt der Prüfung
Das BayLDA untersucht sowohl Webseiten, deren URLs eigenständig erhoben wurden, als auch die, die von den Webseitenbetreibern selbst dem BayLDA mitgeteilt worden sind (z. B. per E-Mail oder über den neuen Online-Service "HTTPS-Check").

2. Gegenstand der Prüfung
Geprüft wird, ob die Webseiten über eine ausreichende HTTPS-Verschlüsselung verfügen, um den Datentransfer zwischen dem Browser des Nutzers und dem Internet-Server des Anbieters abzusichern. Dies gilt besonders für Webseiten, bei denen Kontakt- und Zahlungsdaten eingegeben werden können (z. B. Online-Shops), sowie für Webseiten von Unternehmen, die ein Kontaktformular als mögliches Kommunikationsmedium anbieten. Darüber hinaus kann in Einzelfällen auch bei anderen Webseiten eine HTTPS-Verschlüsselung erforderlich sein, da weitere Nutzungsdaten verarbeitet werden.

3. Durchführung der Prüfung
Anhand eines eigenhändig erstellten Prüfskripts auf Basis der OpenSSL-Bibliothek werden die Webseiten automatisiert daraufhin überprüft, ob die HTTPS-Transportverschlüsselung dem Stand der Technik entspricht. Unter anderem werden folgende Kriterien dabei berücksichtigt (das BayLDA hält sich eine Änderung der tatsächlichen Prüfpunkte vor):
  1. Priore Verwendung von Perfect Forward Secrecy (PFS)
  2. Kein Einsatz veralteter Verschlüsselungsprotokolle (SSL2, SSL3)
  3. Zertifikate mit mindestens 2048-Bit Schlüssellänge
  4. HTTP Strict Transport Security (HSTS) zur Eindämmung der Risiken von Man-in-the-Middle-Angriffen
  5. Keine Verwendung von unsicheren Kryptoalgorithmen (z. B. RC4, SHA-1)
  6. TLS 1.2 als Standardprotokoll
  7. Keine Heartbleed-Lücke vorhanden
  8. Keine selbstsignierten Zertifikate
4. Umgang mit dem Ergebnis der Prüfung
Alle Unternehmen, deren Webseiten von uns überprüft wurden, erhalten einen kurzen automatisch generierten Prüfbericht. Soweit die Webseiten über eine ausreichende Verschlüsselung verfügen, wird dies entsprechend schriftlich bestätigt. Sollten jedoch Mängel durch die Prüfung erkannt werden, so werden diese dem Betreiber mit der Aufforderung mitgeteilt, innerhalb einer Frist die erforderlichen Maßnahmen zur Verschlüsselung umzusetzen. Sofern Betreiber von Webseiten ohne ausreichende Begründung der Verpflichtung, eine angemessene Ver-schlüsselung vorzusehen, nicht nachkommen, wird das BayLDA durch eine entsprechende Anordnung die Betreiber verpflichten, die Verschlüsselung zu implementieren und, falls dieser Anordnung nicht nachgekommen wird, gege-benenfalls ergänzend einen Bußgeldbescheid gegen den Verantwortlichen erlassen.