Technische Details zur Verschlüsselung

In diesem Artikel erfahren Sie mehr über Zertifikate, Technologien und TLS-Verschlüsselungssammlungen, die für die Verschlüsselung in Office 365verwendet werden. Dieser Artikel enthält auch Details zu geplanten Veralteten.

Eigentümerschaft und Verwaltung des Microsoft Office 365-Zertifikats

Sie müssen keine Zertifikate für Office 365 erwerben oder verwalten. Stattdessen verwendet Office 365 eigene Zertifikate.

Aktuelle Verschlüsselungsstandards und geplante Veraltete

Um eine erstklassige Verschlüsselung bereitzustellen, überprüft Office 365 regelmäßig unterstützte Verschlüsselungsstandards. Manchmal sind alte Standards veraltet, wenn sie veraltet und weniger sicher sind. In diesem Artikel werden derzeit unterstützte Verschlüsselungssammlungen und andere Standards sowie Details zu geplanten Veralteten beschrieben.

FIPS-Compliance für Office 365

Alle cipher suites supported by Office 365 use algorithms acceptable under FIPS 140-2. Office 365 erbt FIPS-Überprüfungen von Windows (über Schannel). Informationen zu Schannel finden Sie unter Cipher Suites in TLS/SSL (Schannel SSP).

Von Office 365 unterstützte TLS-Versionen

TLS und SSL, die vor TLS aufgetreten sind, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk mithilfe von Sicherheitszertifikaten sichern, um eine Verbindung zwischen Computern zu verschlüsseln. Office 365 unterstützt TLS Version 1.2 (TLS 1.2).

TLS Version 1.3 (TLS 1.3) wird von einigen der Dienste unterstützt.

Wichtig

Beachten Sie, dass TLS-Versionen veraltet sind und dass veraltete Versionen nicht verwendet werden sollten, wenn neuere Versionen verfügbar sind. Wenn Ihre Legacydienste TLS 1.0 oder 1.1 nicht benötigen, sollten Sie sie deaktivieren.

Unterstützung für tls 1.0 und 1.1 veraltet

Office 365 die Unterstützung von TLS 1.0 und 1.1 am 31. Oktober 2018 eingestellt. Wir haben die Deaktivierung von TLS 1.0 und 1.1 in GCC High- und DoD-Umgebungen abgeschlossen. Wir haben mit der Deaktivierung von TLS 1.0 und 1.1 für weltweite umgebungen und GCC umgebungen ab dem 15. Oktober 2020 begonnen und werden den Rollout in den nächsten Wochen und Monaten fortsetzen.

Um eine sichere Verbindung mit Office 365 und Microsoft 365 Diensten aufrechtzuerhalten, verwenden alle Clientserver- und Browserserverkombinationen TLS 1.2 und moderne Verschlüsselungssammlungen. Dies erfordert möglicherweise Updates für bestimmte Client-Server- bzw. Browser-Server-Kombinationen. Informationen dazu, wie sich diese Änderung auf Sie auswirkt, finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.

Veraltete Unterstützung für 3DES

Seit dem 31. Oktober 2018 unterstützt Office 365 die Verwendung von 3DES-Verschlüsselungssammlungen für die Kommunikation mit Office 365 nicht mehr. Genauer gesagt, unterstützt Office 365 die TLS_RSA_WITH_3DES_EDE_CBC_SHA Cipher Suite nicht mehr. Seit dem 28. Februar 2019 wurde diese Verschlüsselungssuite in Office 365 deaktiviert. Clients und Server, die mit Office 365 kommunizieren, müssen eine oder mehrere der unterstützten Chiffren unterstützen. Eine Liste der unterstützten Verschlüsselungen finden Sie unter TLS-Verschlüsselungssammlungen, die von Office 365 unterstützt werden.

Ende der SHA-1-Zertifikatunterstützung in Office 365

Seit Juni 2016 akzeptiert Office 365 kein SHA-1-Zertifikat mehr für ausgehende oder eingehende Verbindungen. Verwenden Sie SHA-2 (Secure Hash Algorithm 2) oder einen stärkeren Hashalgorithmus in der Zertifikatkette.

VON Office 365 unterstützte TLS-Verschlüsselungssammlungen

TLS verwendet Verschlüsselungssammlungen, Sammlungen von Verschlüsselungsalgorithmen, um sichere Verbindungen herzustellen. Office 365 unterstützt die in der folgenden Tabelle aufgeführten Verschlüsselungssammlungen. In der Tabelle sind die Chiffresammlungen in der Reihenfolge der Stärke aufgeführt, wobei zuerst die stärkste Verschlüsselungssuite aufgeführt wird.

Office 365 antwortet auf eine Verbindungsanforderung, indem zuerst versucht wird, eine Verbindung mithilfe der sichersten Verschlüsselungssuite herzustellen. Wenn die Verbindung nicht funktioniert, versucht Office 365 die zweite sicherste Verschlüsselungssuite in der Liste usw. Der Dienst setzt die Liste nach unten fort, bis die Verbindung akzeptiert wird. Ebenso wählt der empfangende Dienst, wenn Office 365 eine Verbindung anfordert, aus, ob TLS verwendet wird und welche Verschlüsselungssuite verwendet werden soll.

Name der Verschlüsselungssammlung Schlüsselaustauschalgorithmus/-stärke Weiterleitungsgeheimnis Chiffre/Stärke Authentifizierungsalgorithmus/-stärke
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDH/192
Ja
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDH/128
Ja
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ECDH/192
Ja
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDH/128
Ja
AES/128
RSA/112
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
Ja
AES/256
RSA/112
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
Ja
AES/128
RSA/112
TLS_RSA_WITH_AES_256_GCM_SHA384
RSA/112
Nein
AES/256
RSA/112
TLS_RSA_WITH_AES_128_GCM_SHA256
RSA/112
Nein
AES/256
RSA/112

Die folgenden Verschlüsselungssammlungen unterstützten die TLS 1.0- und 1.1-Protokolle bis zum Ablaufdatum. Für GCC High- und DoD-Umgebungen war das Veraltete Datum der 15. Januar 2020. Für weltweite und GCC Umgebungen war dieses Datum der 15. Oktober 2020.

Protokolle Name der Verschlüsselungssammlung Schlüsselaustauschalgorithmus/-stärke Weiterleitungsgeheimnis Chiffre/Stärke Authentifizierungsalgorithmus/-stärke
TLS 1.0, 1.1, 1.2
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDH/192
Ja
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDH/128
Ja
AES/128
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_256_CBC_SHA
RSA/112
Nr.
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_128_CBC_SHA
RSA/112
Nein
AES/128
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_256_CBC_SHA256
RSA/112
Nein
AES/256
RSA/112
TLS 1.0, 1.1, 1.2
TLS_RSA_WITH_AES_128_CBC_SHA256
RSA/112
Nr.
AES/256
RSA/112

Bestimmte Office 365 Produkte (einschließlich Microsoft Teams) verwenden Azure Front Door, um TLS-Verbindungen zu beenden und den Netzwerkdatenverkehr effizient weiterzuleiten. Mindestens eine der Verschlüsselungssammlungen, die von Azure Front Door über TLS 1.2 unterstützt werden, muss aktiviert sein, um eine erfolgreiche Verbindung mit diesen Produkten herzustellen. Für Windows 10 und höher wird empfohlen, eine oder beide ECDHE-Verschlüsselungssammlungen für eine bessere Sicherheit zu aktivieren. Windows 7, 8 und 8.1 sind nicht mit den ECDHE-Verschlüsselungssammlungen von Azure Front Door kompatibel, und die DFE-Verschlüsselungssammlungen wurden aus Gründen der Kompatibilität mit diesen Betriebssystemen bereitgestellt.

TLS Cipher Suites in Windows 10 v1903

Verschlüsselung in Office 365

Einrichten der Verschlüsselung in Office 365 Enterprise

Schannel-Implementierung von TLS 1.0 in Windows Sicherheitsupdate: 24. November 2015

Tls/SSL Cryptographic Enhancements (Windows IT Center)

Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC

Was werden die aktuellen Verschlüsselungssammlungen von Azure Front Door unterstützt?