{"id":2683,"date":"2015-11-04T11:47:57","date_gmt":"2015-11-04T10:47:57","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=2683"},"modified":"2025-12-09T14:50:39","modified_gmt":"2025-12-09T13:50:39","slug":"cesg-veroeffentlicht-leitlinien-fuer-die-sichere-tls-konfiguration-auf-servern","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/cesg-veroeffentlicht-leitlinien-fuer-die-sichere-tls-konfiguration-auf-servern\/","title":{"rendered":"CESG ver\u00f6ffentlicht Leitlinien f\u00fcr die sichere TLS-Konfiguration auf Servern"},"content":{"rendered":"<p>Die britische Regierungsunterbeh\u00f6rde <a href=\"https:\/\/de.wikipedia.org\/wiki\/Government_Communications_Headquarters#Auftrag\" target=\"_blank\" rel=\"noopener\">CESG<\/a> hat Leitlinien f\u00fcr die sichere Konfiguration von TLS auf Servern, die Verbindungen von unbekannten Parteien zulassen, ver\u00f6ffentlicht. Im Wesentlichen wird in den Leitlinien die Verwendung von HTTPS mittels Extended Validation-Zertifikat (EV) forciert. Weiter geht es um das Sicherstellen, dass kompromittierte Zertifikate zur\u00fcckgerufen werden k\u00f6nnen. Die weiteren Empfehlungen beinhalten das automatische Umleiten von Webanwendern auf eine HTTPS-Seite, wenn sie die HTTP-Version einer Website aufgerufen haben, um die Nutzung der neuesten Versionen von TLS-Bibliotheken sowie um das Aktivieren von HTTP Strict Transport Security (HSTS).<\/p>\n<p><!--more--><\/p>\n<h3>Alpha-Version der TLS-Guidance<\/h3>\n<p>Noch befinden sich die <a href=\"https:\/\/www.gov.uk\/guidance\/transport-layer-security-tls-for-external-facing-services\" target=\"_blank\" rel=\"noopener\">Richtlinien der britischen CESG<\/a> im Alpha-Stadium; weitere \u00c4nderungen sind also noch sehr wahrscheinlich. Nichtsdestotrotz ist klar, wohin die Reise geht: Website-Admins wird empfohlen, auf HTTPS zu setzen und <strong>Extended Validation-Zertifikate<\/strong> zu verwenden. Ansprechen m\u00f6chte die Beh\u00f6rde vorrangig den \u00f6ffentlichen Sektor, in dem die IT in der Lage sein muss, eingehende Verbindungen von unbekannten Clients oder Services zu unterst\u00fctzen. In den Richtlinien wird darauf hingewiesen, dass TLS in der Version 1.2 aktuell ist und verwendet werden sollte, da in puncto Sicherheit Verbesserungen vorgenommen wurden. Nicht mehr vertrauen sollten Sie dem Vorg\u00e4nger SSL, da dieser in s\u00e4mtlichen Versionen als unsicher gilt; <a href=\"https:\/\/www.psw-group.de\/blog\/sslv3-rc4-google-verabschiedet-sich-von-unsicheren-standards\/2674\">wir berichteten j\u00fcngst \u00fcber SSLv3<\/a>.<\/p>\n<h3>TLS f\u00fcr Webserver: die Schwierigkeiten in der Konfiguration<\/h3>\n<p>Anwender, die Webserivces zur Kommunikation mit Beh\u00f6rden, Unternehmen oder Institutionen verwenden, m\u00fcssen darauf vertrauen d\u00fcrfen, dass ihre Kommunikation privat und frei von St\u00f6rungen bleibt. Diese Sicherheit bietet das TLS-Protokoll. Wird TLS zusammen mit Webservern verwendet, wird aus HTTP HTTPS. Es existieren enorm viele Konfigurationsoptionen, die die Sicherheit von Services und der Kommunikation beeinflussen. Leider ist es so, dass Sie, wenn Sie die sicherste Konfiguration w\u00e4hlen, diverse User von Ihrem Online-Angebot ausschlie\u00dfen \u2013 nicht jede verwendete Software nutzt TLS in der aktuellsten Version. Mozilla bietet beispielsweise die Optionen, die TLS-Konfiguration &#8222;modern&#8220;, &#8222;intermediate&#8220; oder &#8222;old&#8220; zu w\u00e4hlen. Wird &#8222;old&#8220; ausgew\u00e4hlt, werden auch unsichere SSL-Verbindungen zugelassen. Es gilt also, die Balance zwischen gr\u00f6\u00dftm\u00f6glicher Sicherheit und gr\u00f6\u00dftm\u00f6glicher Anwenderfreundlichkeit zu finden.<\/p>\n<p>Webserver sollten so konfiguriert werden, dass neuere Protokollversionen grunds\u00e4tzlich bevorzugt werden. Der Fallback auf \u00e4ltere Standards soll erst unter gewissen Umst\u00e4nden geschehen. Mozilla hat zu diesem Thema <a href=\"https:\/\/wiki.mozilla.org\/Security\/Server_Side_TLS#Prioritization_logic\" target=\"_blank\" rel=\"noopener\">einen Leitfaden ver\u00f6ffentlicht<\/a>, der Empfehlungen zu der Priorisierungslogik gibt. Web-Services, auf die \u00fcber bekannte Endger\u00e4te zugegriffen wird, sollten ein Verschl\u00fcsselungsprofil bereitstellen, das recht engmaschig gefasst ist.<\/p>\n<h3>Konfigurationsempfehlungen f\u00fcr TLS auf Webservern<\/h3>\n<p>Drei weitere Leitf\u00e4den empfiehlt das CESG f\u00fcr die Konfiguration von TLS auf Webservern:<\/p>\n<ul>\n<li>Qualys: <a href=\"https:\/\/www.ssllabs.com\/projects\/best-practices\/index.html\" target=\"_blank\" rel=\"noopener\">&#8222;SSL\/TLS Deployment Best Practices&#8220;<\/a><\/li>\n<li>Google: <a href=\"https:\/\/support.google.com\/webmasters\/answer\/6073543\" target=\"_blank\" rel=\"noopener\">&#8222;Webmasters: Secure Your Site with HTTPS&#8220;<\/a><\/li>\n<li>Mozilla: <a href=\"https:\/\/wiki.mozilla.org\/Security\/Server_Side_TLS#Modern_compatibility\" target=\"_blank\" rel=\"noopener\">&#8222;Security\/Server Side TLS&#8220;<\/a><\/li>\n<\/ul>\n<p>Aus diesen Leitf\u00e4den leiten sich die Empfehlungen des CESG ab:<\/p>\n<ul>\n<li>Webservices ver\u00f6ffentlichen Sie ausschlie\u00dflich mit HTTPS.<\/li>\n<li>Richten Sie eine automatische Umleitung auf die HTTPS-Version f\u00fcr User ein, die die HTTP-Version der Website aufrufen.<\/li>\n<li>verwenden Sie die neuesten Versionen der TLS-Bibliotheken und unterst\u00fctzen Sie Web-Frameworks. Eventuelle Schwachstellen in den Bibliotheken k\u00f6nnen schnell ausgenutzt werden, wenn diese nicht zeitnah gepatcht werden.<\/li>\n<li>Folgen Sie den Best-Practice-Empfehlungen von Qualys; siehe <a href=\"https:\/\/www.ssllabs.com\/projects\/best-practices\/index.html\" target=\"_blank\" rel=\"noopener\">&#8222;SSL\/TLS Deployment Best Practices&#8220;<\/a><\/li>\n<li>Aktivieren Sie HSTS, um Browsern den Weg der sicheren Verbindung zu weisen. Daf\u00fcr k\u00f6nnen Sie sich eine der beiden folgenden Methoden aussuchen:\n<ul>\n<li>Erg\u00e4nzen Sie den HSTS-Header, wenn Besucher via HTTPS auf Ihre Seite zugreifen. Damit weisen Sie den Browser an, k\u00fcnftig ausschlie\u00dflich die HTTPS-Version der Site aufzurufen.<\/li>\n<li>Erg\u00e4nzen Sie Ihre Website auf der HSTS Preload-Liste, die modernen Browsern sagt, dass HTTP-Aufrufe automatisch auf HTTPS umgeleitet werden. Die Liste von Googles Chrome-Browser, die zahlreiche andere Browserlisten inkludiert, <a href=\"https:\/\/hstspreload.appspot.com\/\" target=\"_blank\" rel=\"noopener\">finden Sie hier<\/a>.<\/li>\n<\/ul>\n<\/li>\n<li>Bedienen Sie sich einer Sicherheitsrichtlinie, die beim Entwerfen neuer Applikationen zum Tragen kommt. Dies von vornherein zu bedenken ist grunds\u00e4tzlich einfacher, als Applikationen im Nachhinein zu optimieren.<\/li>\n<li>Ordern Sie Zertifikate ausschlie\u00dflich von vertrauensw\u00fcrdigen und seri\u00f6sen Quellen.<\/li>\n<li>Nutzen Sie Extended Validation-Zertifikate (EV-Zertifikate), um das Vertrauen der Kunden in die Identit\u00e4t Ihres Dienstes zu erh\u00f6hen. Informationen \u00fcber Unterschiede der EV- und anderer\u00a0<a href=\"https:\/\/www.psw-group.de\/ssl-zertifikate\/\">SSL-Zertifikate\u00a0<\/a>erfahren Sie in den Know-how-Texten unten auf dieser Site.<\/li>\n<li>Stellen Sie sicher, dass Sie kompromittierte Zertifikate z\u00fcgig austauschen k\u00f6nnen. Ihre Zertifizierungsstelle sowie der Dienstleister, bei dem Sie Ihr Zertifikat erworben haben, unterst\u00fctzen Sie hierbei idealerweise.<\/li>\n<li>Helfen Sie Usern, die mit veralteter Software\/ Webbrowsern arbeiten, die aktuelle TLS-Algorithmen nicht unterst\u00fctzen, indem Sie ihnen dazu raten, ihre Software bzw. ihren Webbrowser auf eine aktuelle Version upzudaten.<\/li>\n<\/ul>\n<h3>TLS f\u00fcr E-Mail-Server<\/h3>\n<p>Immer dann, wenn E-Mails \u00fcber einen unsicheren Kanal, wie dem Internet, versendet werden, sollten diese vor Manipulation gesch\u00fctzt werden. Dies erreichen Sie durch die Verschl\u00fcsselung der versendeten E-Mail, beispielsweise mithilfe von PGP oder <a href=\"https:\/\/www.psw-group.de\/smime\/\">S\/MIME<\/a>: neben der Vertraulichkeit sind auch die Integrit\u00e4t der Nachricht und die Echtheit des Absenders gesichert. Leider funktioniert verschl\u00fcsselte Kommunikation nur, wenn Sender und Empf\u00e4nger mittels eines E-Mail-Clients kommunizieren, welche die erforderliche Public Key Infrastructure unterst\u00fctzen und beide ein S\/MIME-Zertifikat besitzen. Dies ist nicht praktikabel bei Kommunikation mit externen Parteien, voll allem wenn der Kommunikationspartner kein S\/MIME-Zertifikat besitzt. Daher empfiehlt das CESG Internet-gerichtete Mail-Server (insbesondere solche, die als Mail Transfer Agents fungieren) so zu konfigurieren, dass sie TLS in den aktuellsten Versionen unterst\u00fctzen, um E-Mails mit Hilfe der STARTTLS-Methode auf ihrem Weg zwischen Mail-Servern zu sch\u00fctzen.<\/p>\n<p>Verbindungen zwischen SMTP-Servern mittels Mail Transfer Agents (MTAs) verwenden normalerweise den TCP Port 25. SMTP-Verbindungen zwischen zwei MTAs k\u00f6nnen mit STARTTLS gesichert werden. Haben beide Parteien gut konfiguriert, wandelt dies eine unsichere SMTP-Verbindung in eine sichere um; anschlie\u00dfende SMTP-Befehle werden \u00fcber eine verschl\u00fcsselte Verbindung gesendet. Das CESG empfiehlt dem \u00f6ffentlichen Sektor, STARTTLS f\u00fcr s\u00e4mtliche mit dem Internet verbundenen MTAs zu verwenden.<\/p>\n<p>Bei der Konfiguration von E-Mail-Servern besteht noch mehr die Problematik, schw\u00e4chere Verschl\u00fcsselungsprotokolle und -profile unterst\u00fctzen zu m\u00fcssen, teilweise besteht sogar die Notwendigkeit, im Klartext versendete E-Mails zu empfangen. Mit Kommunikationspartnern, mit denen Sie regelm\u00e4\u00dfig via E-Mail kommunizieren, etwa Kommunikationen zwischen zwei Beh\u00f6rden, die sich regelm\u00e4\u00dfig austauschen, k\u00f6nnen Sie sich auf ein Profil einigen, sodass TLS grunds\u00e4tzlich und automatisch verwendet wird, um beide Parteien zu identifizieren.<\/p>\n<h3>Empfehlungen f\u00fcr die sichere Konfiguration von E-Mail-Servern<\/h3>\n<p>Damit eine TLS-Verbindung aufgebaut werden kann, ben\u00f6tigt der User eine Verbindung zu Ihrem Service, wobei die Identit\u00e4t des Servers durch ein X.509v3-Zertifikat validiert wird. Bedeutet: F\u00fcr Ihren Service ben\u00f6tigen Sie ein Zertifikat, das von einer CA gezeichnet wurde. Verwenden Sie einen Cloud-basierten E-Mail-Anbieter oder routen Sie Ihre E-Mails \u00fcber einen SMTP-Relay-Server, sollte dieser Vorgang vom jeweiligen Anbieter mit \u00fcbernommen werden. Betreiben Sie Ihre eigenen MTAs, w\u00e4hlen Sie Ihre CA bitte mit Bedacht und fordern Sie ein EV-Zertifikat mit starken Sicherheitsparametern an.<\/p>\n<p>Um zu verhindern, dass Ihre Domains in betr\u00fcgerischer Absicht missbraucht werden, etwa f\u00fcr Spam oder Phishing, konfigurieren Sie <a href=\"https:\/\/de.wikipedia.org\/wiki\/Sender_Policy_Framework\" target=\"_blank\" rel=\"noopener\">SPF<\/a>, <a href=\"https:\/\/de.wikipedia.org\/wiki\/DomainKeys\" target=\"_blank\" rel=\"noopener\">DKIM<\/a> und <a href=\"https:\/\/de.wikipedia.org\/wiki\/DMARC\" target=\"_blank\" rel=\"noopener\">DMARC<\/a> entsprechend, um anderen Mail-Servern die Authentifizierung der E-Mails von Ihrer Domain zu erleichtern.<\/p>\n<h3>Die Auswahl der Zertifizierungsstelle<\/h3>\n<p>TLS verwendet X.509v3-Zertifikate zur Best\u00e4tigung von Identit\u00e4ten einer oder beider miteinander kommunizierender Parteien. Ist eine der miteinander kommunizierenden Parteien in der Lage, zu beweisen, dass das Zertifikat von einer vertrauensvollen Zertifizierungsstelle (CA) stammt, kann eine sichere Kommunikation zustande kommen. Daher ist es unabdingbar, eine CA zu w\u00e4hlen, die weitr\u00e4umig Vertrauen genie\u00dft. W\u00e4hlen Sie eine CA, deren Zertifikate als nicht vertrauensw\u00fcrdig angesehen werden, k\u00f6nnte die Verbindung abbrechen da der Gespr\u00e4chspartner nicht validiert werden kann.<\/p>\n<p>Um zu \u00fcberpr\u00fcfen, ob eine CA (Certificate Authority) in Ihrem Webbrowser oder Mailserver als vertrauensw\u00fcrdig eingestuft wird, k\u00f6nnen Sie die Liste der vertrauensw\u00fcrdigen Root-CAs im Betriebssystem oder direkt im Browser einsehen. Weitere Hinweise zur Auswahl einer vertrauensw\u00fcrdigen CA finden Sie unter Abschnitt 1.4 des <a href=\"https:\/\/www.ssllabs.com\/projects\/best-practices\/index.html\" target=\"_blank\" rel=\"noopener\">&#8222;SSL\/TLS Deployment Best Practices Guide&#8220;<\/a> von Qualys.<\/p>\n<h3>Anfordern eines Zertifikats<\/h3>\n<p>Um ein von einer CA signiertes X.509v3-Zertifikat anzufordern, erzeugen Sie Ihren eigenen privaten Schl\u00fcssel und senden den Certificate Signing Request (CSR) an die CA; Ihr privater Schl\u00fcssel bleibt dabei geheim. Einige Parameter stehen zur Wahl des privaten Schl\u00fcssels sowie der Signaturanforderung zur Auswahl. Die wichtigste Frage dabei ist, ob Sie sich f\u00fcr ein RSA-Zertifikat entscheiden oder ob Ihr Zertifikat <a href=\"https:\/\/de.wikipedia.org\/wiki\/Elliptic_Curve_Cryptography\" target=\"_blank\" rel=\"noopener\">ECC<\/a> unterst\u00fctzen soll. Einige E-Mail- und Webserver unterst\u00fctzen beides und entscheiden je nachdem, wie sich der Anwender zu verbinden versucht. Entscheiden Sie sich f\u00fcr ein RSA-Zertifikat, empfiehlt das CESG ein Zertifikat mit diesen Parametern:<\/p>\n<ul>\n<li>2048-bit RSA mit SHA256<\/li>\n<\/ul>\n<p>Generieren Sie ein ECC-Zertifikat, werden diese Parameter empfohlen:<\/p>\n<ul>\n<li>ECDSA-256 mit SHA256 auf der P-256-Kurve<\/li>\n<\/ul>\n<h3>Testen der TLS-Konfiguration<\/h3>\n<p>Viele Konfigurationen sind m\u00f6glich f\u00fcr TLS \u2013 die Anzahl m\u00f6glicher Optionen sind so zahlreich und vor allem bedarfsabh\u00e4ngig, dass Test-Tools sinnvoll sind:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.ssllabs.com\/ssltest\/\" target=\"_blank\" rel=\"noopener\">SSL-Server-Test von Qualys<\/a> (die f\u00fcr den Test relevanten Kriterien <a href=\"https:\/\/www.psw-group.de\/blog\/ssl-check-tool-von-qualys-ssl-labs-welche-kriterien-sind-relevant\/1492\">hatten wir bereits in diesem Blogbeitrag zusammengefasst<\/a>)<\/li>\n<li><a href=\"http:\/\/www.checktls.com\/index.html\" target=\"_blank\" rel=\"noopener\">Check TLS-Tool von checktls.com<\/a><\/li>\n<\/ul>\n<p>Diese Tools identifizieren f\u00fcr Sie die gr\u00f6\u00dften Konfigurationsprobleme. Verstehen Sie diese Tools bitte nicht als Mittel zu Penetrationstests Ihrer Services, sondern tats\u00e4chlich als M\u00f6glichkeit, Ihre TLS-Konfiguration zu optimieren.<\/p>\n<h3>Empfehlenswerte TLS-Konfigurationen<\/h3>\n<p>Die Empfehlungen nennt das CESG in ihren Richtlinien sehr konkret. Selbstredend stellen wir Ihnen diese Empfehlungen ebenfalls zur Verf\u00fcgung; bitte folgen Sie daf\u00fcr <a href=\"https:\/\/www.psw-group.de\/support\/?p=1160\" target=\"_blank\" rel=\"noopener\">diesem Link in unseren Knowledge-Base-Bereich.<\/a><\/p>\n<p>Haben Sie Fragen zur TLS-Konfiguration Ihres Servers, k\u00f6nnen Sie diese gerne in den Kommentaren hinterlassen. F\u00fcr Unterst\u00fctzung bei konkreten Fragestellungen steht Ihnen <a href=\"https:\/\/www.psw-group.de\/kontakt.html\" target=\"_blank\" rel=\"noopener\">unser Support<\/a> zur Seite.<\/p>\n<div class=\"shariff\"><ul class=\"shariff-buttons theme-default orientation-horizontal buttonsize-medium\"><li class=\"shariff-button facebook shariff-nocustomcolor\" style=\"background-color:#4273c8\"><a href=\"https:\/\/www.facebook.com\/sharer\/sharer.php?u=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcesg-veroeffentlicht-leitlinien-fuer-die-sichere-tls-konfiguration-auf-servern%2F\" title=\"Bei Facebook teilen\" aria-label=\"Bei Facebook teilen\" role=\"button\" rel=\"nofollow\" class=\"shariff-link\" style=\"; background-color:#3b5998; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 18 32\"><path fill=\"#3b5998\" d=\"M17.1 0.2v4.7h-2.8q-1.5 0-2.1 0.6t-0.5 1.9v3.4h5.2l-0.7 5.3h-4.5v13.6h-5.5v-13.6h-4.5v-5.3h4.5v-3.9q0-3.3 1.9-5.2t5-1.8q2.6 0 4.1 0.2z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button twitter shariff-nocustomcolor\" style=\"background-color:#595959\"><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcesg-veroeffentlicht-leitlinien-fuer-die-sichere-tls-konfiguration-auf-servern%2F&text=CESG%20ver%C3%B6ffentlicht%20Leitlinien%20f%C3%BCr%20die%20sichere%20TLS-Konfiguration%20auf%20Servern\" title=\"Bei X teilen\" aria-label=\"Bei X teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#000; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 24 24\"><path fill=\"#000\" d=\"M14.258 10.152L23.176 0h-2.113l-7.747 8.813L7.133 0H0l9.352 13.328L0 23.973h2.113l8.176-9.309 6.531 9.309h7.133zm-2.895 3.293l-.949-1.328L2.875 1.56h3.246l6.086 8.523.945 1.328 7.91 11.078h-3.246zm0 0\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button xing shariff-nocustomcolor\" style=\"background-color:#29888a\"><a href=\"https:\/\/www.xing.com\/spi\/shares\/new?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcesg-veroeffentlicht-leitlinien-fuer-die-sichere-tls-konfiguration-auf-servern%2F\" title=\"Bei XING teilen\" aria-label=\"Bei XING teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#126567; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 25 32\"><path fill=\"#126567\" d=\"M10.7 11.9q-0.2 0.3-4.6 8.2-0.5 0.8-1.2 0.8h-4.3q-0.4 0-0.5-0.3t0-0.6l4.5-8q0 0 0 0l-2.9-5q-0.2-0.4 0-0.7 0.2-0.3 0.5-0.3h4.3q0.7 0 1.2 0.8zM25.1 0.4q0.2 0.3 0 0.7l-9.4 16.7 6 11q0.2 0.4 0 0.6-0.2 0.3-0.6 0.3h-4.3q-0.7 0-1.2-0.8l-6-11.1q0.3-0.6 9.5-16.8 0.4-0.8 1.2-0.8h4.3q0.4 0 0.5 0.3z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><li class=\"shariff-button linkedin shariff-nocustomcolor\" style=\"background-color:#1488bf\"><a href=\"https:\/\/www.linkedin.com\/sharing\/share-offsite\/?url=https%3A%2F%2Fwww.psw-group.de%2Fblog%2Fcesg-veroeffentlicht-leitlinien-fuer-die-sichere-tls-konfiguration-auf-servern%2F\" title=\"Bei LinkedIn teilen\" aria-label=\"Bei LinkedIn teilen\" role=\"button\" rel=\"noopener nofollow\" class=\"shariff-link\" style=\"; background-color:#0077b5; color:#fff\" target=\"_blank\"><span class=\"shariff-icon\" style=\"\"><svg width=\"32px\" height=\"20px\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 27 32\"><path fill=\"#0077b5\" d=\"M6.2 11.2v17.7h-5.9v-17.7h5.9zM6.6 5.7q0 1.3-0.9 2.2t-2.4 0.9h0q-1.5 0-2.4-0.9t-0.9-2.2 0.9-2.2 2.4-0.9 2.4 0.9 0.9 2.2zM27.4 18.7v10.1h-5.9v-9.5q0-1.9-0.7-2.9t-2.3-1.1q-1.1 0-1.9 0.6t-1.2 1.5q-0.2 0.5-0.2 1.4v9.9h-5.9q0-7.1 0-11.6t0-5.3l0-0.9h5.9v2.6h0q0.4-0.6 0.7-1t1-0.9 1.6-0.8 2-0.3q3 0 4.9 2t1.9 6z\"\/><\/svg><\/span><span class=\"shariff-text\">teilen<\/span>&nbsp;<\/a><\/li><\/ul><\/div>","protected":false},"excerpt":{"rendered":"<p>Die britische Regierungsunterbeh\u00f6rde CESG hat Leitlinien f\u00fcr die sichere Konfiguration von TLS auf Servern, die Verbindungen von unbekannten Parteien zulassen, ver\u00f6ffentlicht. Im Wesentlichen wird in den Leitlinien die Verwendung von HTTPS mittels Extended Validation-Zertifikat (EV) forciert. Weiter geht es um das Sicherstellen, dass kompromittierte Zertifikate zur\u00fcckgerufen werden k\u00f6nnen. Die weiteren Empfehlungen beinhalten das automatische Umleiten von Webanwendern auf eine HTTPS-Seite, wenn sie die HTTP-Version einer Website aufgerufen haben, um die [&hellip;]<\/p>\n","protected":false},"author":66,"featured_media":2692,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[379],"tags":[49],"class_list":["post-2683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","tag-ssl-zertifikate"],"_links":{"self":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/2683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/users\/66"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/comments?post=2683"}],"version-history":[{"count":16,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/2683\/revisions"}],"predecessor-version":[{"id":6181,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/posts\/2683\/revisions\/6181"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media\/2692"}],"wp:attachment":[{"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/media?parent=2683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/categories?post=2683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-group.de\/blog\/wp-json\/wp\/v2\/tags?post=2683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}