HM_Banner_Superbanner_728x90_2



Nieuwe TLS-richtlijnen geland in Internet.nl

  1. 10 dec 2019
  2. 0 reacties

Met Internet.nl kun je testen of jouw website en mail voldoen aan de laatst nieuwe 'ICT-beveiligingsrichtlijnen voor TLS' van NCSC. Dit betekent ook dat TLS 1.3 nu ondersteund wordt in de website- en mail-test.

De testtool Internet.nl controleert TLS-configuraties voor websites onder de testcategorie 'HTTPS' en voor mailservers onder de testcategorie 'STARTTLS en DANE'. De laatste ICT-beveiligingsrichtlijnen voor TLS van NCSC vormen daarvoor het uitgangspunt. Als een 'goede' of 'voldoende' instelling wordt gedetecteerd dan toont Internet.nl een groen vinkje ('geslaagd'). In geval van een 'uit te faseren' instelling, zoals TLS 1.0 en 1.1, zie je een oranje uitroepteken ('waarschuwing'), en bij een 'onvoldoende' configuratie een rood kruis ('gezakt').

ICT-beveiligingsrichtlijnen voor TLS

In april 2019 heeft NCSC de 'ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v2.0' gepubliceerd. De door NCSC geadviseerde instellingen zijn toekomstvast; naar verwachting behoeven TLS-configuraties die op basis van de nieuwe richtlijnen zijn ingesteld de komende tijd weinig tot geen aanpassing. Bovendien zorgen de richtlijnen ervoor dat systemen interoperabel blijven en wordt voorkomen dat TLS-instellingen incompatibel zijn met elkaar.

'Uit te faseren' TLS-instellingen

Over 'uit te faseren' instellingen is bekend dat deze fragiel zijn en het risico lopen in de toekomst onvoldoende veilig te worden. Neem het volgende in overweging bij het nemen van een besluit over de 'uit te faseren' instellingen.

Browsermakers hebben aangekondigd dat ze in het eerste kwartaal van 2020 zullen stoppen met de ondersteuning van TLS 1.1 en 1.0. Daardoor zullen websites die geen TLS1.2 en/of 1.3 ondersteunen onbereikbaar worden.

Behoorlijk wat mailservers ondersteunen alleen oudere TLS-versies. Als de verzendende en ontvangende mailserver niet allebei dezelfde TLS-versie ondersteunen, dan zullen ze doorgaans terugvallen op onversleuteld transport. Om die reden kan het raadzaam zijn om de TLS-versies met status 'uit te faseren' voorlopig te blijven ondersteunen. Maak op basis van loggegevens een weloverwogen keuze voor het uitzetten van deze 'uit te faseren' TLS-versies.