Nieuwe TLS-richtlijnen geland in Internet.nl

9 december 2019
Vanaf vandaag kan je met Internet.nl testen of jouw website en mail voldoen aan de laatst nieuwe 'ICT-beveiligingsrichtlijnen voor TLS' van NCSC. Dit betekent ook dat TLS 1.3 nu ondersteund wordt in de website- en mail-test.

TLS in Internet.nl

De testtool Internet.nl controleert TLS-configuraties voor websites onder de testcategorie 'HTTPS' en voor mailservers onder de testcategorie 'STARTTLS en DANE'. De laatste ICT-beveiligingsrichtlijnen voor TLS van NCSC vormen daarvoor het uitgangspunt. Als een 'goede' of 'voldoende' instelling wordt gedetecteerd dan toont Internet.nl een groen vinkje ('geslaagd'). In geval van een 'uit te faseren' instelling, zoals TLS 1.0 en 1.1, zie je een oranje uitroepteken ('waarschuwing'), en bij een 'onnvoldoende' configuratie een rood kruis ('gezakt').

ICT-beveiligingsrichtlijnen voor TLS

In april 2019 heeft NCSC de 'ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v2.0' gepubliceerd. De door NCSC geadviseerde instellingen zijn toekomstvast; naar verwachting behoeven TLS-configuraties die op basis van de nieuwe richtlijnen zijn ingesteld de komende tijd weinig tot geen aanpassing. Bovendien zorgen de richtlijnen ervoor dat systemen interoperabel blijven en wordt voorkomen dat TLS-instellingen incompatibel zijn met elkaar.

'Uit te faseren' TLS-instellingen

Over 'uit te faseren' instellingen is bekend dat deze fragiel zijn en het risico lopen in de toekomst onvoldoende veilig te worden. Neem het volgende in overweging bij het nemen van een besluit over de 'uit te faseren' instellingen.

Browsermakers hebben aangekondigd dat ze in het eerste kwartaal van 2020 zullen stoppen met de ondersteuning van TLS 1.1 en 1.0. Daardoor zullen websites die geen TLS1.2 en/of 1.3 ondersteunen onbereikbaar worden.

Behoorlijk wat mailservers ondersteunen alleen oudere TLS-versies. Als de verzendende en ontvangende mailserver niet allebei dezelfde TLS-versie ondersteunen, dan zullen ze doorgaans terugvallen op onversleuteld transport. Om die reden kan het raadzaam zijn om de TLS-versies met status 'uit te faseren' voorlopig te blijven ondersteunen. Maak op basis van loggegevens een weloverwogen keuze voor het uitzetten van deze 'uit te faseren' TLS-versies.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. ECP biedt de administratieve basis voor het platform. De technische realisatie van Internet.nl is in handen van Open Netlabs / NLnet Labs.

Release notes

  • Various UI/webdesign fixes/improvements
  • New:
    • Updated TLS tests to conform to the new v2 NCSC guidelines
    • TLS1.3 is supported in the TLS tests
    • Improved Hall of Fame which adds mail tests and champions
    • Widget for starting the website and email test from other websites
  • Bugfixes:
    • Connection test: DNSSEC no longer defaults to secure when the bogus url is not visited and none of the others tests could be performed. It falls back to not tested instead