Nieuwe richtlijnen TLS configuraties
Geschreven op 23 april 2019. Gepost in NCSC Nieuwsberichten.
Het NCSC publiceert vernieuwde ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS)
TLS is het meest gebruikte protocol voor het beveiligen van verbindingen op internet. Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen. Bekende voorbeelden zijn webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN).
De richtlijnen zijn bedoeld als advies bij het inkopen, opstellen en beoordelen van configuraties voor het Transport Layer Security-protocol (TLS). Organisaties die ICT-systemen inkopen, kunnen naar dit document verwijzen bij het stellen van eisen aan de te leveren producten.
“We gebruiken de NCSC adviezen actief als hulpmiddel bij onze digitale veiligheid. Deze richtlijn helpt ons, leveranciers en onze klanten om te komen tot een veilige configuratie van IT infrastructuur en software.”
Leon Kers, Chief Information Security Officer, de Volksbank.
NCSC vernieuwde de richtlijnen uit 2014 met waardevolle bijdragen van: Autoriteit Persoonsgegevens, Belastingdienst, Centric, Dienst Publiek en Communicatie, Forum Standaardisatie, IBD, KPN, NLnet Labs, Northwave, Platform Internetstandaarden, RDW, SURFnet, de Volksbank, Z-CERT, Nationaal Bureau voor Verbindingsbeveiliging en vijf internationaal toonaangevende experts op het gebied van TLS.
De vernieuwde richtlijnen helpen toekomst vaste TLS-configuraties te maken op basis van TLS 1.3
“De TLS-richtlijnen helpen de Belastingdienst een veilige verbinding met burgers en bedrijven te maken.”
Peter Konings, Security Operations Center, Belastingdienst
De TLS-standaard is sinds de publicatie van de richtlijnen in 2014 actief doorontwikkeld. De TLS-richtlijnen zijn vernieuwd om recente ontwikkelingen zoals TLS 1.3 te reflecteren. Ook is er plek voor verschillende nieuw gestandaardiseerde opties in oudere versies van TLS.
De meeste configuraties die voldeden aan de richtlijnen van 2014 zijn nog steeds veilig. De ontwikkeling van aanvalstechnieken stond echter niet stil. Van verschillende instellingen is bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling. Dergelijke instellingen bieden slechts een geringe veiligheidsmarge. NCSC adviseert in de richtlijnen om voorwaarden voor uitfasering vast te leggen, waarmee beëindiging van het gebruik van deze instellingen wordt gepland.
Bij uitfasering speelt veiligheid natuurlijk een rol, maar er moet bijvoorbeeld ook rekening worden gehouden met de compatibiliteit met de software van klanten of eindgebruikers. De TLS-richtlijnen fungeren als gids bij deze taak.
Met toekomst vaste TLS-configuraties, kunnen organisaties zich richten op dreigingen die dagelijkse aandacht verdienen.
“Ook voor de zorg zijn veilige verbindingen cruciaal. De TLS-richtlijnen van het NCSC maken het makkelijker om verbindingen veilig te maken en te houden.”
Christiaan Piek, directeur, Z-CERT
De beschikbaarheid van TLS 1.3 en publicatie van de vernieuwde richtlijnen zijn een goed moment om configuraties uit te faseren die in de toekomst onvoldoende veilig worden. Door nu na te denken over een toekomstvaste configuratie, kunnen organisaties zich richten op dreigingen die dagelijkse aandacht verdienen.
Ga naar de nieuwste versie van de TLS-richtlijnen.