Technische Details zur Verschlüsselung

In diesem Artikel finden Sie Informationen zu Zertifikaten, Technologien und TLS-Verschlüsselungssammlungen, die für die Verschlüsselung in Office 365 verwendet werden. Dieser Artikel enthält auch Details zu geplanten Verkürzungen.This article also provides details about planned deprecations.

Eigentümerschaft und Verwaltung des Microsoft Office 365-Zertifikats

Sie müssen keine Zertifikate für Office 365 erwerben oder verwalten. Stattdessen verwendet Office 365 eigene Zertifikate.

Aktuelle Verschlüsselungsstandards und geplante Veraltetheiten

Um erstklassige Verschlüsselung bereitzustellen, überprüft Office 365 regelmäßig unterstützte Verschlüsselungsstandards. Manchmal werden alte Standards veraltet, da sie veraltet und weniger sicher sind. In diesem Artikel werden die derzeit unterstützten Verschlüsselungssammlungen und andere Standards und Details zu geplanten Veraltetheiten beschrieben.

FIPS-Compliance für Office 365

Alle Verschlüsselungssammlungen, die von Office 365 unterstützt werden, verwenden Algorithmen, die unter FIPS 140-2 zulässig sind. Office 365 erbt FIPS-Überprüfungen von Windows (über Schannel). Informationen zu Schannel finden Sie unter Cipher Suites in TLS/SSL (Schannel SSP).

Von Office 365 unterstützte TLS-Versionen

TLS und SSL vor TLS sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk sichern, indem Sicherheitszertifikate zum Verschlüsseln einer Verbindung zwischen Computern verwendet werden. Office 365 unterstützt TLS Version 1.2 (TLS 1.2).

TLS Version 1.3 (TLS 1.3) wird von einigen Diensten unterstützt.

Wichtig

Beachten Sie, dass TLS-Versionen veraltet sind und dass veraltete Versionen nicht verwendet werden sollten , wenn neuere Versionen verfügbar sind. Wenn Ihre Legacydienste TLS 1.0 oder 1.1 nicht benötigen, sollten Sie sie deaktivieren.

Unterstützung für DIE Einstellung von TLS 1.0 und 1.1

Office 365 die Unterstützung von TLS 1.0 und 1.1 am 31. Oktober 2018 eingestellt. Wir haben die Deaktivierung von TLS 1.0 und 1.1 in GCC High- und DoD-Umgebungen abgeschlossen. Wir haben mit dem Deaktivieren von TLS 1.0 und 1.1 für weltweite und GCC-Umgebungen ab dem 15. Oktober 2020 begonnen und werden das Rollout in den nächsten Wochen und Monaten fortsetzen.

Um eine sichere Verbindung mit Office 365 und Microsoft 365-Diensten zu gewährleisten, verwenden alle Client-Server- und Browser-Server-Kombinationen TLS 1.2 und moderne Verschlüsselungssammlungen. Dies erfordert möglicherweise Updates für bestimmte Client-Server- bzw. Browser-Server-Kombinationen. Informationen dazu, wie sich diese Änderung auf Sie auswirkt, finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.

Veraltete Unterstützung für 3DES

Seit dem 31. Oktober 2018 unterstützt Office 365 die Verwendung von 3DES-Verschlüsselungssammlungen für die Kommunikation mit Office 365 nicht mehr. Genauer gesagt unterstützt Office 365 die TLS_RSA_WITH_3DES_EDE_CBC_SHA Verschlüsselungssuite nicht mehr. Seit dem 28. Februar 2019 ist diese Verschlüsselungssuite in Office 365 deaktiviert. Clients und Server, die mit Office 365 kommunizieren, müssen mindestens eine der unterstützten Verschlüsselungen unterstützen. Eine Liste der unterstützten Verschlüsselungen finden Sie unter TLS-Verschlüsselungssammlungen, die von Office 365 unterstützt werden.

Ende der SHA-1-Zertifikatunterstützung in Office 365

Seit Juni 2016 akzeptiert Office 365 kein SHA-1-Zertifikat mehr für ausgehende oder eingehende Verbindungen. Verwenden Sie SHA-2 (Secure Hash Algorithm 2) oder einen stärkeren Hashalgorithmus in der Zertifikatkette.

Von Office 365 unterstützte TLS-Verschlüsselungssammlungen

TLS verwendet Verschlüsselungssammlungen, Sammlungen von Verschlüsselungsalgorithmen, um sichere Verbindungen herzustellen. Office 365 unterstützt die in der folgenden Tabelle aufgeführten Verschlüsselungssammlungen. Die Tabelle listet die Verschlüsselungssammlungen in der Reihenfolge der Stärke auf, wobei die stärkste Verschlüsselungssuite zuerst aufgeführt wird.

Office 365 antwortet auf eine Verbindungsanforderung, indem zuerst versucht wird, eine Verbindung mithilfe der sichersten Verschlüsselungssuite herzustellen. Wenn die Verbindung nicht funktioniert, versucht Office 365 die zweitsicherste Verschlüsselungssuite in der Liste usw. Der Dienst wird nach unten in der Liste fortgesetzt, bis die Verbindung akzeptiert wird. Wenn Office 365 eine Verbindung anfordert, wählt der empfangende Dienst aus, ob TLS verwendet wird und welche Verschlüsselungssuite verwendet werden soll.

Name der Verschlüsselungssammlung Schlüsselaustauschalgorithmus/-stärke Forward Secrecy Chiffre/Stärke Authentifizierungsalgorithmus/-stärke
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDH/192
Ja
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDH/128
Ja
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDH/192
Ja
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDH/128
Ja
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
Ja
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
Ja
AES/128
RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384
RSA/112
Nein
AES/256
RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256
RSA/112
Nein
AES/256
RSA/112

Die folgenden Verschlüsselungssammlungen unterstützten TLS 1.0- und 1.1-Protokolle bis zu ihrem Veraltetkeitsdatum. Für GCC High- und DoD-Umgebungen war das Veraltet am 15. Januar 2020. Für weltweite und GCC-Umgebungen war das Datum der 15. Oktober 2020.

Protokolle Name der Verschlüsselungssammlung Schlüsselaustauschalgorithmus/-stärke Forward Secrecy Chiffre/Stärke Authentifizierungsalgorithmus/-stärke
TLS 1.0, 1.1, 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
Ja
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
Ja
AES/128
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_256_CBC_SHA
RSA/112
Nein
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_128_CBC_SHA
RSA/112
Nein
AES/128
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
RSA/112
Nein
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
RSA/112
Nein
AES/256
RSA/112

Bestimmte Office 365 Produkte (einschließlich Microsoft Teams) verwenden Azure Front Door, um TLS-Verbindungen zu beenden und Netzwerkdatenverkehr effizient weiterzuleiten. Mindestens eine der von Azure Front Door über TLS 1.2 unterstützten Verschlüsselungssammlungen muss aktiviert sein, um eine erfolgreiche Verbindung mit diesen Produkten herzustellen. Für Windows 10 und höher empfehlen wir, eine oder beide ECDHE-Verschlüsselungssammlungen für eine bessere Sicherheit zu aktivieren. Windows 7, 8 und 8.1 sind nicht mit den ECDHE-Verschlüsselungssammlungen von Azure Front Door kompatibel, und die DHE-Verschlüsselungssammlungen wurden aus Kompatibilität mit diesen Betriebssystemen bereitgestellt.

TLS Cipher Suites in Windows 10 v1903

Verschlüsselung in Office 365

Einrichten der Verschlüsselung in Office 365 Enterprise

Schannel-Implementierung von TLS 1.0 im Windows-Sicherheitsstatusupdate: 24. November 2015

TLS/SSL Cryptographic Enhancements (Windows IT Center)

Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC

Welche aktuellen Verschlüsselungssammlungen werden von Azure Front Door unterstützt?