Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

ICT-beveiligingsrichtlijnen voor Transport Layer Security v2.1 (TLS)

Publicaties en rapporten
Transport Layer Security (TLS)
Verdiepen
Deze richtlijnen zijn bedoeld als advies bij het inkopen, opstellen en beoordelen van configuraties voor het Transport Layer Security-protocol (TLS). Een veilige TLS-configuratie is belangrijk voor het beveiligen van verbindingen op internet.
ICT-beveiligingsrichtlijnenTLS_v2.1 (PDF, 748 kB, 27-11-2025)
Download

Er is een update beschikbaar van deze richtlijnen

Er is een update van de ICT-beveiligingsrichtlijnen voor TLS beschikbaar. De nieuwste versie is 2025-05.

TLS is ook bekend onder zijn oude naam, Secure Sockets Layer (SSL). TLS wordt in een breed scala van toepassingen gebruikt. Bekende voorbeelden zijn webverkeer (https), e-mailverkeer (IMAP en SMTP na STARTTLS) en bepaalde typen Virtual Private Networks (VPN).

Vraag uw leverancier om TLS 1.3 te ondersteunen als onderdeel van een toekomstvaste TLS-configuratie

Het NCSC heeft besloten TLS 1.2 in veiligheidsniveau af te schalen van Goed naar Voldoende. TLS 1.3, een grondige herziening van TLS op basis van moderne inzichten, bljft Goed. TLS 1.2 is minder robuust dan TLS 1.3 tegen toekomstige doorontwikkeling van aanvalstechnieken.

Dit heeft twee oorzaken. Ten eerste zijn verschillende elementen van TLS 1.2 niet in TLS 1.3 opgenomen, omdat ze zwak gebleken waren. Ten tweede bevat TLS 1.3 minder kwetsbare configuratie-opties dan TLS 1.2, waardoor TLS 1.3 laagdrempeliger veilig te configureren is. Dit betekent dat verschillende categorieën aanvallen die kunnen werken op TLS 1.2 en eerdere versies, niet meer van toepassing zijn voor TLS 1.3.

Belangrijkste wijzigingen in versie 2.1

  1. Het veiligheidsniveau van TLS 1.2 is afgewaardeerd van Goed naar Voldoende.
    (richtlijn B1-1)
  2. De eisen aan de volgorde van algoritmeselecties zijn versimpeld. De volgorde wordt enkel nog op het niveau van veiligheidsniveau's voorgeschreven.
    Gebruikt u alleen Goede algoritmeselecties? Dan hoeft de server niet langer de eigen volgorde af te dwingen.
    (richtlijn B2-5)
  3. Het ondersteunen van Client-initiated renegotation is niet langer Onvoldoende, maar Voldoende.
    (richtlijn B8-1)

Wijziging in versie 2.1.1

  1. Opmaakfout hersteld in Nederlandse versie: de toelichting op de eerste regel van tabellen 13 en 14 was verwisseld.
Gerelateerde artikelen:
Formulier
Heeft deze pagina je geholpen?