Technische Details zur Verschlüsselung
In diesem Artikel erfahren Sie mehr über Zertifikate, Technologien und TLS-Verschlüsselungssammlungen, die für die Verschlüsselung in Office 365verwendet werden. Dieser Artikel enthält auch Details zu geplanten Veralteten.
- Wenn Sie nach Übersichtsinformationen suchen, lesen Sie "Verschlüsselung" in Office 365.
- Wenn Sie nach Setupinformationen suchen, lesen Sie "Einrichten der Verschlüsselung" in Office 365 Enterprise.
- Informationen zu Verschlüsselungssammlungen, die von bestimmten Versionen von Windows unterstützt werden, finden Sie unter Cipher Suites in TLS/SSL (Schannel SSP).
Eigentümerschaft und Verwaltung des Microsoft Office 365-Zertifikats
Sie müssen keine Zertifikate für Office 365 erwerben oder verwalten. Stattdessen verwendet Office 365 eigene Zertifikate.
Aktuelle Verschlüsselungsstandards und geplante Veraltete
Um eine erstklassige Verschlüsselung bereitzustellen, überprüft Office 365 regelmäßig unterstützte Verschlüsselungsstandards. Manchmal sind alte Standards veraltet, wenn sie veraltet und weniger sicher sind. In diesem Artikel werden derzeit unterstützte Verschlüsselungssammlungen und andere Standards sowie Details zu geplanten Veralteten beschrieben.
FIPS-Compliance für Office 365
Alle cipher suites supported by Office 365 use algorithms acceptable under FIPS 140-2. Office 365 erbt FIPS-Überprüfungen von Windows (über Schannel). Informationen zu Schannel finden Sie unter Cipher Suites in TLS/SSL (Schannel SSP).
Von Office 365 unterstützte TLS-Versionen
TLS und SSL, die vor TLS aufgetreten sind, sind kryptografische Protokolle, die die Kommunikation über ein Netzwerk mithilfe von Sicherheitszertifikaten sichern, um eine Verbindung zwischen Computern zu verschlüsseln. Office 365 unterstützt TLS Version 1.2 (TLS 1.2).
TLS Version 1.3 (TLS 1.3) wird von einigen der Dienste unterstützt.
Wichtig
Beachten Sie, dass TLS-Versionen veraltet sind und dass veraltete Versionen nicht verwendet werden sollten, wenn neuere Versionen verfügbar sind. Wenn Ihre Legacydienste TLS 1.0 oder 1.1 nicht benötigen, sollten Sie sie deaktivieren.
Unterstützung für tls 1.0 und 1.1 veraltet
Office 365 die Unterstützung von TLS 1.0 und 1.1 am 31. Oktober 2018 eingestellt. Wir haben die Deaktivierung von TLS 1.0 und 1.1 in GCC High- und DoD-Umgebungen abgeschlossen. Wir haben mit der Deaktivierung von TLS 1.0 und 1.1 für weltweite umgebungen und GCC umgebungen ab dem 15. Oktober 2020 begonnen und werden den Rollout in den nächsten Wochen und Monaten fortsetzen.
Um eine sichere Verbindung mit Office 365 und Microsoft 365 Diensten aufrechtzuerhalten, verwenden alle Clientserver- und Browserserverkombinationen TLS 1.2 und moderne Verschlüsselungssammlungen. Dies erfordert möglicherweise Updates für bestimmte Client-Server- bzw. Browser-Server-Kombinationen. Informationen dazu, wie sich diese Änderung auf Sie auswirkt, finden Sie unter Vorbereiten der obligatorischen Verwendung von TLS 1.2 in Office 365.
Veraltete Unterstützung für 3DES
Seit dem 31. Oktober 2018 unterstützt Office 365 die Verwendung von 3DES-Verschlüsselungssammlungen für die Kommunikation mit Office 365 nicht mehr. Genauer gesagt, unterstützt Office 365 die TLS_RSA_WITH_3DES_EDE_CBC_SHA Cipher Suite nicht mehr. Seit dem 28. Februar 2019 wurde diese Verschlüsselungssuite in Office 365 deaktiviert. Clients und Server, die mit Office 365 kommunizieren, müssen eine oder mehrere der unterstützten Chiffren unterstützen. Eine Liste der unterstützten Verschlüsselungen finden Sie unter TLS-Verschlüsselungssammlungen, die von Office 365 unterstützt werden.
Ende der SHA-1-Zertifikatunterstützung in Office 365
Seit Juni 2016 akzeptiert Office 365 kein SHA-1-Zertifikat mehr für ausgehende oder eingehende Verbindungen. Verwenden Sie SHA-2 (Secure Hash Algorithm 2) oder einen stärkeren Hashalgorithmus in der Zertifikatkette.
VON Office 365 unterstützte TLS-Verschlüsselungssammlungen
TLS verwendet Verschlüsselungssammlungen, Sammlungen von Verschlüsselungsalgorithmen, um sichere Verbindungen herzustellen. Office 365 unterstützt die in der folgenden Tabelle aufgeführten Verschlüsselungssammlungen. In der Tabelle sind die Chiffresammlungen in der Reihenfolge der Stärke aufgeführt, wobei zuerst die stärkste Verschlüsselungssuite aufgeführt wird.
Office 365 antwortet auf eine Verbindungsanforderung, indem zuerst versucht wird, eine Verbindung mithilfe der sichersten Verschlüsselungssuite herzustellen. Wenn die Verbindung nicht funktioniert, versucht Office 365 die zweite sicherste Verschlüsselungssuite in der Liste usw. Der Dienst setzt die Liste nach unten fort, bis die Verbindung akzeptiert wird. Ebenso wählt der empfangende Dienst, wenn Office 365 eine Verbindung anfordert, aus, ob TLS verwendet wird und welche Verschlüsselungssuite verwendet werden soll.
| Name der Verschlüsselungssammlung | Schlüsselaustauschalgorithmus/-stärke | Weiterleitungsgeheimnis | Chiffre/Stärke | Authentifizierungsalgorithmus/-stärke |
|---|---|---|---|---|
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS_RSA_WITH_AES_256_GCM_SHA384 |
RSA/112 |
Nein |
AES/256 |
RSA/112 |
| TLS_RSA_WITH_AES_128_GCM_SHA256 |
RSA/112 |
Nein |
AES/256 |
RSA/112 |
Die folgenden Verschlüsselungssammlungen unterstützten die TLS 1.0- und 1.1-Protokolle bis zum Ablaufdatum. Für GCC High- und DoD-Umgebungen war das Veraltete Datum der 15. Januar 2020. Für weltweite und GCC Umgebungen war dieses Datum der 15. Oktober 2020.
| Protokolle | Name der Verschlüsselungssammlung | Schlüsselaustauschalgorithmus/-stärke | Weiterleitungsgeheimnis | Chiffre/Stärke | Authentifizierungsalgorithmus/-stärke |
|---|---|---|---|---|---|
| TLS 1.0, 1.1, 1.2 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
ECDH/192 |
Ja |
AES/256 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
ECDH/128 |
Ja |
AES/128 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA |
RSA/112 |
Nr. |
AES/256 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA |
RSA/112 |
Nein |
AES/128 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
RSA/112 |
Nein |
AES/256 |
RSA/112 |
| TLS 1.0, 1.1, 1.2 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
RSA/112 |
Nr. |
AES/256 |
RSA/112 |
Bestimmte Office 365 Produkte (einschließlich Microsoft Teams) verwenden Azure Front Door, um TLS-Verbindungen zu beenden und den Netzwerkdatenverkehr effizient weiterzuleiten. Mindestens eine der Verschlüsselungssammlungen, die von Azure Front Door über TLS 1.2 unterstützt werden, muss aktiviert sein, um eine erfolgreiche Verbindung mit diesen Produkten herzustellen. Für Windows 10 und höher wird empfohlen, eine oder beide ECDHE-Verschlüsselungssammlungen für eine bessere Sicherheit zu aktivieren. Windows 7, 8 und 8.1 sind nicht mit den ECDHE-Verschlüsselungssammlungen von Azure Front Door kompatibel, und die DFE-Verschlüsselungssammlungen wurden aus Gründen der Kompatibilität mit diesen Betriebssystemen bereitgestellt.
Verwandte Artikel
TLS Cipher Suites in Windows 10 v1903
Einrichten der Verschlüsselung in Office 365 Enterprise
Schannel-Implementierung von TLS 1.0 in Windows Sicherheitsupdate: 24. November 2015
Tls/SSL Cryptographic Enhancements (Windows IT Center)
Vorbereiten von TLS 1.2 in Office 365 und Office 365 GCC
Was werden die aktuellen Verschlüsselungssammlungen von Azure Front Door unterstützt?