Update van richtlijnen voor beveiligen van TLS-verbindingen

Het Nationaal Cyber Security Centrum (NCSC) heeft een update gepubliceerd van hun richtlijn voor het veilig configureren van het Transport Layer Security (TLS) protocol.
 

Wat is TLS?

TLS is het meest gebruikte protocol om verbindingen op het internet te beveiligen. Een bekend voorbeeld van een TLS-toepassing is de veilige verbinding via ‘https’ die nodig is voor websites of webapplicaties. TLS wordt ook gebruikt bij e-mailverkeer en het opzetten van een VPN-verbinding.

Het TLS-protocol staat ook wel bekend als het SSL-protocol (Secure Sockets Layer). SSL wordt echter niet meer als veilig beschouwd en zou daarom ook niet meer gebruikt moeten worden. De term SSL wordt nog wel vaak gebruikt wanneer er gesproken wordt over het beveiligen van verbindingen.
 

Waarom is dit belangrijk?

Het TLS protocol zorgt voor de vertrouwelijkheid en integriteit van een verbinding. De technieken en methoden die binnen het protocol beschikbaar zijn, worden niet allemaal meer als veilig beschouwd. Dit komt bijvoorbeeld doordat sommige technieken voor versleuteling niet meer sterk genoeg zijn of vanwege ontwerpfouten die aan het licht zijn gekomen. Wanneer er gebruik wordt gemaakt van een onveilige configuratie van dit protocol kunnen kwaadwillende hier misbruik van maken. Daarnaast kan een onveilige configuratie ook effect hebben op de beschikbaarheid van een verbinding omdat client-applicaties, zoals een webbrowser, kunnen besluiten oudere versies niet meer te ondersteunen waardoor een verbinding niet meer mogelijk is.

Het is dus belangrijk dat de configuratie van dit protocol goed gebeurt en ook periodiek nagekeken wordt. De richtlijn van het NCSC geeft inzicht in configuraties en categoriseert of ze:

  1. veilig zijn,
  2. uitgefaseerd moeten worden of
  3. niet meer gebruikt moeten worden.
     

Wat kan ik doen?

De kans dat je als ondernemer gebruik maakt van het TLS-protocol is groot. Heb je bijvoorbeeld een bedrijfswebsite of maak je gebruik van webapplicaties? Dan is het belangrijk om na te gaan of de configuratie op orde is en wanneer nodig deze aan te passen. Je kunt het zelf doen, of bespreken met je IT-leverancier.
 

Hoe kan ik mijn TLS configuratie zelf testen?

Er zijn tools beschikbaar op internet die je een inzicht geven in de huidige TLS-configuratie van je website of webapplicatie wanneer deze via het internet te benaderen is. Zo toetst bijvoorbeeld www.internet.nl je website op een aantal veiligheidsstandaarden waaronder de TLS-configuratie. Dit kan je meer inzicht geven en is een goed startpunt om in gesprek te gaan met je IT-leverancier.