Unterlagen zur Auswahl von unsicheren Webserverzertifikaten
Auf Ihren Webservern verwenden Sie ein TLS Zertifikat mit einer Verschlüsselungsstärke von 2048bit. Am 01.12.2023 wurde dieses Zertifikat erneuert und läuft ein Jahr lang. Ich gehe daher auch davon aus, dass dieses ein Jahr genutzt werden wird.
Mit der Nutzung von 2048bit werden Sie ab Januar 2024 (also in weniger als 4 Wochen) nicht die Empfehlungen/Vorgaben der BSI Richtlinie TR-02102-1 umsetzen. Dort wird angegeben, dass Schlüsselstärken der von Ihnen gewählten Größe auch nur noch übergangsweise für das Jahr 2023 gültig sein sollen.
Ich gehe daher davon aus, dass Sie sich im Rahmen eines dokumentierten Abwägungsprozesses dazu entschlossen haben, trotzdem die vom BSI als nicht mehr sicher eingestufte geringere Schlüsselstärke einzusetzen.
Ich erbitte Unterlagen, die diese Entscheidungen und mögliche Gründe beinhalten könnten.
Ergebnis der Anfrage
Die Behörde sieht keine Notwendigkeit in einer starken Verschlüsselung. Wohlgemerkt eine Behörde, die öffentliche Informationen für die Bevölkerung bereitstellt. Auch wenn ein MITM nicht ganz trivial ist, so ist er doch durchführbar.
Behörden haben in Ihrem Verhalten anderen Richtlinien zu folgen, als private Webseiten wie FragDenStaat.de. Wohlgemerkt verwendet FragDenStaat.de Zertifikate mit Laufzeiten von 3 Monaten und nicht 1 Jahr und hat auch keinen staatlichen Auftrag zuverlässige Informationen zu verbreiten.
Inwiefern 2048bit noch "sicher" sind oder nicht wird auch in der Fachpresse aktuell diskutiert (https://www.heise.de/news/BSI-Verwirrun…). Ebenso, ob die BSI Richtlinie als Empfehlung oder Vorgabe für Behörden zu lesen ist.
Immerhin will die Behörde nachrüsten.
Anfrage erfolgreich
-
Datum2. Dezember 2023
-
10. Februar 2024
-
3 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!