Volgende grote release van Internet.nl gebruikt nieuwe TLS-richtlijnen

2 mei 2019
Bij de eerstvolgende grote release zal Internet.nl TLS-verbindingen gaan beoordelen op basis van de nieuwe ICT-beveiligingsrichtlijnen voor TLS (versie 2.0) van het NCSC. Op dit moment gaat Internet.nl uit van de vorige versie van de ICT-beveiligingsrichtlijnen voor TLS (versie 1.0 uit 2014) en test of TLS-instellingen tenminste de status “Voldoende” hebben.

Op 23 april, heeft het NCSC een nieuwe ICT-beveiligingsrichtlijn voor TLS gepubliceerd (versie 2.0). Platform Internetstandaarden heeft aan de nieuwe versie van de TLS-richtlijnen bijgedragen door feedback te leveren tijdens de review fase. Bij de eerstvolgende grote release zal Internet.nl TLS-verbindingen gaan beoordelen op basis van deze nieuwe richtlijnen. Op dit moment gaat Internet.nl uit van de vorige versie van de ICT-beveiligingsrichtlijnen voor TLS (versie 1.0 uit 2014) en test of TLS-instellingen tenminste de status “Voldoende” hebben.

Op basis van de vernieuwde richtlijnen kunnen organisaties hun internetverbindingen goed beveiligen. De geadviseerde instellingen zijn toekomstvast; naar verwachting behoeven TLS-configuraties die op basis van de nieuwe richtlijnen zijn ingesteld de komende tijd weinig tot geen aanpassing. Bovendien zorgen de richtlijnen ervoor dat systemen interoperabel blijven en wordt voorkomen dat TLS-instellingen incompatibel zijn met elkaar.

De open standaard TLS vormt de basis voor onder andere HTTPS (beveiligde websiteverbindingen) en STARTTLS (beveiligde mailserver-verbindingen). De update van de TLS-richtlijnen omvat ook TLS versie 1.3 die sinds eind 2018 op de ‘pas toe of leg uit’-lijst van Forum Standaardisatie staat. Naast de toevoeging van TLS versie 1.3 zijn er in de nieuwe richtlijnen nog wat andere wijzigingen doorgevoerd. Zo krijgen TLS 1.0 en 1.1 de nieuwe status “Uitfaseren”. De Autoriteit Persoonsgegevens heeft aangegeven dat organisaties die gebruik maken van een ‘uit te faseren’ TLS-configuratie, deze op termijn moeten vervangen omdat er anders mogelijk niet wordt voldaan aan de beveiligingseisen die volgen uit de AVG.