Configureer TLS toekomstvast met vernieuwde TLS-richtlijnen 1.3

Een veilige TLS-configuratie is belangrijk voor het beveiligen van verbindingen op internet. De vernieuwde richtlijnen helpen toekomstvaste TLS-configuraties te maken, zodat organisaties zich kunnen richten op dreigingen die dagelijkse aandacht verdienen. Het NCSC publiceert vernieuwde ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS).

TLS-richtlijnen voor beveiligde netwerkverbindingen

TLS is het meest gebruikte protocol voor het beveiligen van verbindingen op internet. Een veilige TLS-configuratie is belangrijk voor het beveiligen van netwerkverbindingen. Bekende voorbeelden zijn webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN).

De vernieuwde richtlijnen zijn bedoeld als advies bij inkopen, opstellen en beoordelen van configuraties voor het Transport Layer Security-protocol (TLS). Organisaties die ICT-systemen willen aanschaffen, kunnen voor de eisen aan producten verwijzen naar dit document.

"We gebruiken de NCSC adviezen actief als hulpmiddel bij onze digitale veiligheid. Deze richtlijn helpt ons, leveranciers en onze klanten om te komen tot een veilige configuratie van IT infrastructuur en software."
Leon Kers, Chief Information Security Officer, de Volksbank

NCSC vernieuwde de richtlijnen uit 2014 met waardevolle bijdragen van: Autoriteit Persoonsgegevens, Belastingdienst, Centric, Dienst Publiek en Communicatie, Forum Standaardisatie, IBD, KPN, NLnet Labs, Northwave, Platform Internetstandaarden, RDW, SURFnet, de Volksbank, Z-CERT, Nationaal Bureau voor Verbindingsbeveiliging en 5 internationaal toonaangevende experts op het gebied van TLS.

Toekomstvaste TLS-configuraties volgens TLS 1.3

"De TLS-richtlijnen helpen de Belastingdienst een veilige verbinding met burgers en bedrijven te maken."
Peter Konings, Security Operations Center, Belastingdienst

De TLS-standaard is sinds de eerste publicatie van onze richtlijnen actief doorontwikkeld. De TLS-richtlijnen zijn vernieuwd om op recente ontwikkelingen zoals TLS 1.3 te reflecteren. Ook is er plek voor verschillende nieuw gestandaardiseerde opties in oudere versies van TLS.

De meeste configuraties die voldeden aan de richtlijnen van 2014 zijn nog steeds veilig. De ontwikkeling van aanvalstechnieken stond echter niet stil. Van verschillende instellingen is bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling, de veiligsheidsmarge ervan is gering.  NCWij adviseren om voorwaarden voor uitfasering vast te leggen, waarmee beëindiging van het gebruik van deze instellingen wordt gepland.

Bij uitfasering speelt veiligheid natuurlijk een rol, maar er moet bijvoorbeeld ook rekening worden gehouden met de compatibiliteit met de software van klanten of eindgebruikers. De TLS-richtlijnen fungeren als gids bij deze taak.

Organisaties ontzorgd door toekomstvaste TLS-configuraties

"Ook voor de zorg zijn veilige verbindingen cruciaal. De TLS-richtlijnen van het NCSC maken het makkelijker om verbindingen veilig te maken en te houden."
Christiaan Piek, directeur, Z-CERT

De beschikbaarheid van TLS 1.3 en publicatie van de vernieuwde richtlijnen lenen zich om configuraties uit te faseren die in de toekomst onvoldoende veilig zullen zijn. Door nu na te denken over toekomstvaste configuratie kunnen organisaties zich richten op dreigingen die dagelijkse aandacht verdienen.