Opmerking van de redacteur: Dit bericht werd oorspronkelijk gepubliceerd in mei 2018 en is bijgewerkt door GlobalSign Product Manager Cally Fritsch om nieuwe details te geven over het plan van de browsers om de ondersteuning van TLS 1.0 en 1.1 in maart 2020 te beëindigen.
Zoals we eerder hebben uitgelegd, zijn SSL en TLS cryptografische protocollen voor verificatie en gegevensversleuteling tussen verschillende eindpunten (bijv. een client die een verbinding tot stand brengt met een webserver), met SSL als voorloper van TLS. Sinds de eerste iteratie van SSL in 1995 zijn er nieuwe versies van ieder protocol verschenen om zwakke plekken aan te pakken en de sterkste en veiligste cipher suites en algoritmen te ondersteunen. Momenteel gebruiken wij TLS 1.3, dit is zojuist goedgekeurd door het IETF (Internet Engineering Task Force).
De best practices om jullie servers te ondersteunen is gebruik te maken van de nieuwste protocolversies om er zeker van te zijn dat alleen de krachtigste algoritmen en cipher suites gebruikt worden, maar het is even belangrijk om de oudere versies uit te schakelen of te deactiveren. Als oudere versies van de protocollen nog steeds ondersteund worden, lopen jullie risico op van aanvallen op die verouderde versies, waarbij hackers zich toegang verschaffen tot de server en de oudere versies van protocollen gebruiken waarvan de zwakke plekken algemeen bekend zijn. Hierdoor zijn de versleutelde verbindingen (of het nu tussen een bezoeker van de website en de webserver is of tussen twee machines) kwetsbaar voor aanvallen van het type “man-in-the-middle” en andere soorten aanvallen.
U hebt misschien ook het recente nieuws gezien dat de browsers officieel de ondersteuning voor TLS-versies 1.0 en 1.1 verwijderen - nog een reden om over te stappen op TLS 1.2 of 1.3, als u dat nog niet hebt gedaan. Volgens het Register:
"Apple zei: "Volledige ondersteuning zal worden verwijderd uit Safari in updates voor Apple iOS en macOS vanaf maart 2020". Google heeft gezegd dat het de ondersteuning voor TLS 1.0 en 1.1 in Chrome 81 zal verwijderen (verwacht op 17 maart). Microsoft zei dat het hetzelfde zou doen 'in de eerste helft van 2020'."
Verwant onderwerp: Wil je jouw kennis opfrissen over het verschil tussen SSL en TLS? Lees hier onze uitleg.
Wat is de achtergrond van deze wijzigingen?
In de afgelopen jaren zijn allerlei zwakke plekken (met namen zoals BEAST, POODLE en DROWN…een leuk acroniem is nooit weg, zeg nu zelf) voor experts in de sector aanleiding geweest om voor te stellen alle versies van SSL en TLS 1.0 uit te schakelen. PCI naleving was een andere drijfveer. Op 30 juni 2018 eiste de PCI Data Security Standard (DSS) dat alle websites op TLS 1.1 of hoger moesten staan om te kunnen voldoen.
Controleer ondersteuning van SSL- en TLS 1.0-protocollen
Als je niet zeker weet welke protocollen jullie site ondersteunt, voer dan onze gratis SSL-servertest uit. Ga naar het gedeelte Protocollen van de pagina met resultaten; dan zie je een lijst met alle protocollen en ook of deze wel of niet momenteel zijn ingeschakeld. Hieronder zie je een duidelijk voorbeeld van een slecht geconfigureerde site, want deze ondersteunt nog steeds SSL 2.0, SSL 3.0 en TLS 1.0 maar niet TLS 1.2.
Voorbeeld formulier met resultaten van ondersteunde protocollen van SSL-servertest van GlobalSign
Meer informatie over welke versies van servers en clients ieder protocol ondersteunen samen met instructies voor het uitschakelen van de oude protocollen kan je vinden op onze ondersteunende site.
Herinnering: Certificaten zijn niet afhankelijk van protocollen
Als je je zorgen maakt over hoe je de certificaten vervangt voorafgaande aan de PCI-deadline in juni, dan herinneren wij je er graag aan dat certificaten niet afhankelijk zijn van protocollen. Protocollen worden bepaald door de serverconfiguratie, niet door de certificaten. Dus geen paniek, jullie certificaten hoeven te vervangen te worden voor deze wijziging!
Kort samengevat
- Gebruik onze gratis serverconfiguratietest als je niet zeker weet welke protocollen je momenteel ondersteunt
- Je moet de ondersteuning uitschakelen voor SSLv2, SSLv3 en TLS 1.0 omdat ze achterhaald en kwetsbaar zijn (en ook om te voldoen aan de gegevensbeveiligingsnorm van de PCI)
- Je moet TLS 1.0 en 1.1 uitschakelen als je dat kunt
- Je dient TLS 1.2 of 1.3 in te schakelen
- Lees ons ondersteunende artikel voor instructies over het aanpassen van uw serverconfiguratie en het inschakelen dan wel uitschakelen van de juiste protocollen
Wat de plannen van GlobalSign betreft, hebben we de SSL-protocollen lang geleden uitgeschakeld en de ondersteuning voor TLS 1.0 en 1.1 voor onze web eigenschappen beëindigd om de naleving van PCI DSS te garanderen. We blijven 1.2 ondersteunen en werken nu aan ondersteuning voor 1.3.
