Status

Lijst status
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied

TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.

Organisatorisch werkingsgebied

Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector

Europese status
Nee

Nut en werking

Typering

Veilige verbinding

Nut

TLS is een protocol dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken.

TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.

Domein
Internet en beveiliging
Trefwoorden

Detailinformatie

Volledige naam
Transport Layer Security Protocol Version
Versie
1.3 en 1.2
Beheerorganisatie
IETF

Toepassing

Hulpmiddelen
Conformiteitstest

Rondom de toepassing van TLS zijn er verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau. Het is belangrijk om de configuratie-instellingen regelmatig te toetsen. Conformiteit kan je toetsen via onderstaande site.

Toetsingsinformatie

Toelichting bij opname
  • In de vergadering van 29 november 2018 stemde het Overheidsbreed Beleidsoverleg Digitale Overheid op advies van het Forum Standaardisatie in met de plaatsing van TLS versie 1.3 op de pas-toe-of-leg-uit lijst. TLS versie 1.2 wordt op de pas-toe-of-leg-uit lijst gehandhaafd om interoperabiliteit met oudere systemen te waarborgen. TLS 1.0 en 1.1 zijn van de pas-toe-of-leg-uit verwijderd en hoeven bij investeringen in ICT dus niet meer verplicht uitgevraagd te worden als terugval-versies.
  • Toepassing van versie 3 en ouder van SSL (‘TLS-voorloper’) wordt ontraden vanwege bekende ernstige kwetsbaarheden. Zie hiervoor ook dit advies van NSCS over kwetsbaarheden in SSL3.0
  • Bij de toepassing van TLS is het van belang om kennis te nemen van de actuele internationale ‘best practices’ voor veilige TLS-configuratie bijv. van ENISA, OWASP en SSLlabs. Rondom de toepassing van TLS zijn er namelijk verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau.
  • TLS is cruciaal voor een veilige netwerkverbinding naar niet de enige maatregel. Het is van belang ook andere beveiligingsmaatregelen (waaronder beveiligingsstandaarden) bewust te overwegen.
  • Zoals blijkt uit het functioneel toepassingsgebied, is TLS alleen vereist als beveiliging van de netwerkverbinding waarover gegevens worden uitgewisseld van belang is. Dit laatste kan volgen uit wet- en regelgeving en/of de beveiligingsvoorschriften binnen een organisatie.
Adoptieadviezen
  • Aan Forum Standaardisatie: Behoud de oudere versie TLS 1.2 eveneens op de lijst onder de voorwaarde dat deze door het NCSC niet als onveilig worden aangemerkt.
  • Aan overheidsorganisaties: Controleer regelmatig met behulp van beschikbare validatie-tools, zoals Internet.nl, of TLS 1.3 en TLS 1.2 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van de geactualiseerde TLS-richtlijnen van NCSC. Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius;
  • Aan NCSC: Actualiseer de richtlijnen voor veilige TLS-configuratie en neem daar ook TLS 1.3 in op;
  • Aan NCSC: Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep kan de vraagbaakfunctie worden vormgegeven via de schakelorganisaties van NCSC (zoals VNG/IBD);
  • Aan NCSC: Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus TLS wijzigt;
  • Aan Logius/PKIoverheid: Breng de geactualiseerde NCSC-richtlijn actief onder de aandacht bij de uitgifte van certificaten aan de gebruikers van PKIoverheid;
  • Aan Platform Internetstandaarden: ondersteun ook TLS 1.3 in de testen van Internet.nl.
Datum van besluit
2014-09-16

Overig

Waarvoor geldt de verplichting

Bij het investeren in ICT systemen waarbij gegevens worden uitgewisseld tussen clients en servers. Bijvoorbeeld websites en e-mail systemen maar ook machine-to-machine (M2M) communicatie en internet of things (IoT) toepassingen.

Voor TLS heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt. Tweemaal per jaar wordt gemeten hoe de overheid aan deze afspraak voldoet. Zie https://www.forumstandaardisatie.nl/thema/iv-meting-en-afspraken voor details.