Het Nationaal Cyber Security Centrum (NCSC) heeft een update gepubliceerd van hun richtlijn voor het veilig configureren van het Transport Layer Security (TLS) protocol.
TLS is het meest gebruikte protocol om verbindingen op het internet te beveiligen. Een bekend voorbeeld van een TLS-toepassing is de veilige verbinding via ‘https’ die nodig is voor websites of webapplicaties. TLS wordt ook gebruikt bij e-mailverkeer en het opzetten van een VPN-verbinding.
Het TLS-protocol staat ook wel bekend als het SSL-protocol (Secure Sockets Layer). SSL wordt echter niet meer als veilig beschouwd en zou daarom ook niet meer gebruikt moeten worden. De term SSL wordt nog wel vaak gebruikt wanneer er gesproken wordt over het beveiligen van verbindingen.
Het TLS protocol zorgt voor de vertrouwelijkheid en integriteit van een verbinding. De technieken en methoden die binnen het protocol beschikbaar zijn, worden niet allemaal meer als veilig beschouwd. Dit komt bijvoorbeeld doordat sommige technieken voor versleuteling niet meer sterk genoeg zijn of vanwege ontwerpfouten die aan het licht zijn gekomen. Wanneer er gebruik wordt gemaakt van een onveilige configuratie van dit protocol kunnen kwaadwillende hier misbruik van maken. Daarnaast kan een onveilige configuratie ook effect hebben op de beschikbaarheid van een verbinding omdat client-applicaties, zoals een webbrowser, kunnen besluiten oudere versies niet meer te ondersteunen waardoor een verbinding niet meer mogelijk is.
Het is dus belangrijk dat de configuratie van dit protocol goed gebeurt en ook periodiek nagekeken wordt. De richtlijn van het NCSC geeft inzicht in configuraties en categoriseert of ze:
veilig zijn,
uitgefaseerd moeten worden of
niet meer gebruikt moeten worden.
Download 'ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v2.1'
Bron: Digital Trust Center
