Over de standaard

Beschrijving

Veilige verbinding

Lijst status
Verplicht (pas toe leg uit)

Uitleg

Nut

TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken.

TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.

Waarvoor geldt de verplichting

Bij het investeren in ICT systemen waarbij gegevens worden uitgewisseld tussen clients en servers. Bijvoorbeeld websites en e-mail systemen maar ook machine-to-machine (M2M) communicatie en internet of things (IoT) toepassingen.

Detailinformatie

Beheerorganisatie
IETF
Uitstekend beheer
Nee
Volledige naam
Transport Layer Security Protocol Version
Version
1.2, 1.1 en 1.0

Inkoop

Leveranciers

De volgende leverancier heeft expertise op deze standaard:

 

Implementatie

Hulpmiddelen
Conformiteitstest

Rondom de toepassing van TLS zijn er verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau. Conformiteit kan je toetsen via onderstaande site.

Domein
Internet & Beveiliging

Adoptieadviezen

Adoptieadviezen
  • Aan overheden: Controleer regelmatig met behulp van beschikbare validatie-tools, zoals de SSLlabs server test , of voor beveiligde verbindingen TLS1.2 en eventueel aanvullend versies 1.0 en 1.1  worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van beschikbare best practices.2 Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.
  • Aan NCSC: Ontwikkel en publiceer in samenwerking met experts van andere organisaties, zoals Logius (PKIoverheid) en beheerders van sectorale Baselines Informatiebeveiliging, een richtlijn voor veilige TLS-configuratie en houd deze up-to-date. In deze richtlijn zou het gebruik van versie 1.2 en de relatie tot de andere versies van TLS een belangrijke rol moeten innemen, evenals de te ondersteunen cryptografische algoritmen en het afslaan van bekende aanvallen op TLS. Verder zou het gebruik van bepaalde TLS validatie-tools moeten worden aangeraden. 
  • Aan Logius/PKIoverheid: Breng de genoemde bestaande internationale ‘best practices’ voor veilige TLS-configuratie en straks de NCSC-richtlijn actief onder de aandacht van gebruikers van PKIoverheid.
  • Aan NCSC: Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep  kan de vraagbaakfunctie worden vormgegeven via de  schakelorganisaties van NCSC (zoals KING/IBD) .
  • Aan NCSC: Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus van de standaard wijzigt.

Toetsingsinformatie

Functioneel toepassingsgebied

TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.

Organisatorisch werkingsgebied

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector

Toelichting bij opname
  • TLS 1.2 wordt door experts beschouwd als de meest veilige versie. Deze versie is daarom de norm. Deze is niet echter ‘backwards compatible’ Ten behoeve van de interoperabiliteit dienen daarom ook de versies 1.1 en 1.0 toegepast te worden, met name als wederpartijen (nog) niet klaar zijn voor versie 1.2.
  • Toepassing van versie 3 en ouder van SSL (‘TLS-voorloper’) wordt ontraden vanwege bekende ernstige kwetsbaarheden. Zie hiervoor ook dit advies van NSCS over kwetsbaarheden in SSL3.0
  • Bij de toepassing van TLS is het van belang om kennis te nemen van de actuele internationale ‘best practices’ voor veilige TLS-configuratie bijv. van ENISA, OWASP en SSLlabs. Rondom de toepassing van TLS zijn er namelijk verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau.
  • TLS is cruciaal voor een veilige netwerkverbinding naar niet de enige maatregel. Het is van belang ook andere beveiligingsmaatregelen (waaronder beveiligingsstandaarden) bewust te overwegen.
  • Zoals blijkt uit het functioneel toepassingsgebied, is TLS alleen vereist als beveiliging van de netwerkverbinding waarover gegevens worden uitgewisseld   van belang is. Dit laatste kan volgen uit wet- en regelgeving en/of de beveiligingsvoorschriften binnen een organisatie.
Datum van besluit
16-09-2014
Europese status (MSP)
Nee