08 mei 2018

Het wordt tijd TLS 1.0 (en alle SSL-versies) eindelijk te deactiveren

Zoals we eerder hebben uitgelegd, zijn SSL en TLS cryptografische protocollen voor verificatie en gegevensversleuteling tussen verschillende eindpunten (bijv. een client die een verbinding tot stand brengt met een webserver), met SSL als voorloper van TLS. Sinds de eerste iteratie van SSL in 1995 zijn er nieuwe versies van ieder protocol verschenen om zwakke plekken aan te pakken en de sterkste en veiligste cipher suites en algoritmen te ondersteunen. Momenteel gebruiken wij TLS 1.3, dit is zojuist goedgekeurd door het IETF (Internet Engineering Task Force).

De best practices om jullie servers te ondersteunen is gebruik te maken van de nieuwste protocolversies om er zeker van te zijn dat alleen de krachtigste algoritmen en cipher suites gebruikt worden, maar het is even belangrijk om de oudere versies uit te schakelen of te deactiveren. Als oudere versies van de protocollen nog steeds ondersteund worden, lopen jullie risico op van aanvallen op die verouderde versies, waarbij hackers zich toegang verschaffen tot de server en de oudere versies van protocollen gebruiken waarvan de zwakke plekken algemeen bekend zijn. Hierdoor zijn de versleutelde verbindingen (of het nu tussen een bezoeker van de website en de webserver is of tussen twee machines) kwetsbaar voor aanvallen van het type “man-in-the-middle” en andere soorten aanvallen.

Daarom is het nu de hoogste tijd TLS 1.0 te deactiveren als je dat nog niet dat gedaan (en SSL 2.0 en SSL 3.0...hoewel je dat echt al een tijd geleden had moeten doen).

Verwant onderwerp: Wil je jouw kennis opfrissen over het verschil tussen SSL en TLS? Lees hier onze uitleg.

Wat is de achtergrond van deze wijzigingen?

In de afgelopen jaren zijn allerlei zwakke plekken (met namen zoals BEAST, POODLE en DROWN…een leuk acroniem is nooit weg, zeg nu zelf) voor experts in de sector aanleiding geweest om voor te stellen alle versies van SSL en TLS 1.0 uit te schakelen, maar het huidige initiatief heeft vooral te maken met naleving van de voorschriften van de PCI (Payment Card Industry). Vanaf 30 juni 2018 moeten alle websites gebruik maken van TLS versie 1.1 of nieuwer om te voldoen aan de DSS (Data Security Standard, gegevensbeveiligingsnorm) van de PCI.

Controleer ondersteuning van SSL- en TLS 1.0-protocollen

Als je niet zeker weet welke protocollen jullie site ondersteunt, voer dan onze gratis SSL-servertest uit. Ga naar het gedeelte Protocollen van de pagina met resultaten; dan zie je een lijst met alle protocollen en ook of deze wel of niet momenteel zijn ingeschakeld. Hieronder zie je een duidelijk voorbeeld van een slecht geconfigureerde site, want deze ondersteunt nog steeds SSL 2.0, SSL 3.0 en TLS 1.0 maar niet TLS 1.2.

Bad Results from SSL Server Test

Voorbeeld formulier met resultaten van ondersteunde protocollen van SSL-servertest van GlobalSign

Meer informatie over welke versies van servers en clients ieder protocol ondersteunen samen met instructies voor het uitschakelen van de oude protocollen kan je vinden op onze ondersteunende site.

Herinnering: Certificaten zijn niet afhankelijk van protocollen

Als je je zorgen maakt over hoe je de certificaten vervangt voorafgaande aan de PCI-deadline in juni, dan herinneren wij je er graag aan dat certificaten niet afhankelijk zijn van protocollen. Protocollen worden bepaald door de serverconfiguratie, niet door de certificaten. Dus geen paniek, jullie certificaten hoeven te vervangen te worden voor deze wijziging!

Kort samengevat

  • Gebruik onze gratis serverconfiguratietest als je niet zeker weet welke protocollen je momenteel ondersteunt
  • Je moet de ondersteuning uitschakelen voor SSLv2, SSLv3 en TLS 1.0 omdat ze achterhaald en kwetsbaar zijn (en ook om te voldoen aan de gegevensbeveiligingsnorm van de PCI).
  • Je moet TLS 1.1 uitschakelen als je dat kunt, vanwege algemeen bekende kwetsbare plekken in dit protocol.
  • Je dient TLS 1.2 of 1.3 in te schakelen.
  • Lees ons ondersteunende artikel voor instructies over het aanpassen van uw serverconfiguratie en het inschakelen dan wel uitschakelen van de juiste protocollen

Wat de plannen van GlobalSign betreft, we hebben al lang geleden SSL-protocollen uitgeschakeld en stoppen voor 1 juni met de ondersteuning van TLS 1.0 en 1.1 om te voldoen aan de gegevensbeveiligingsnorm van de PCI. We blijven 1.2 ondersteunen en werken aan ondersteuning voor 1.3 nu het is goedgekeurd door de IETF.

Share this Post

Write for Us

Apply Now

Schrijf je in voor onze blog

Bekijk de Privacy Policy van GlobalSign