TLS
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Actueel
- Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
- Naam
- TLS
- ID
TLS
- Type
- Wijzigingsdatum
- Laag Vijflaagsmodel
- Laag 5: Netwerklaag
Beveiligde internetverbinding
TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.
TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.
- Nut: TLS zorgt voor beveiligde internetverbindingen, met als doel de veilige uitwisseling van gegevens tussen een internetsystemen (zoals websites of mailservers). Dit maakt het voor cybercriminelen moeilijker om internetverkeer te onderscheppen of te manipuleren.
- Werking: TLS zorgt door middel van de uitwisseling van certificaten voor de versleuteling van gegevens tijdens het transport tussen internetsystemen. De certificaten bieden ook zekerheid over de identiteit van beide communicerende partijen. TLS kan bovenop bestaande internetstandaarden, zoals voor webverkeer en e-mailverkeer, worden gebruikt.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.
- Organisatorisch werkingsgebied: Overheden en instellingen uit de (semi-) publieke sector
Meer informatie
- http://datatracker.ietf.org/doc/rfc5246/
- https://datatracker.ietf.org/doc/draft-ietf-tls-tls13/
- Beheerorganisatie: IETF
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg UitToepassing in voorzieningen en bouwstenen
| Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
|---|---|---|---|---|---|
| BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BAG (Basisregistratie Adressen en Gebouwen) | Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/ ). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRI (Basisregistratie Inkomen) | De actuele versies van TLS maken deel uit van de standaard beveiligingsrichtlijnen van de Belastingdienst. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRO (Basisregistratie Ondergrond) | De BRO gebruikt SSL (TLS) certificaten voor inname en uitgifte APIs en voor beveiligde gegevensuitwisseling met PDOK. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRT (Basisregistratie Topografie) | Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRV (Basisregistratie Voertuigen) | RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Berichtenbox voor bedrijven | De Berichtenbox ondersteunt veilige TLS-versies. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| DigiD | DigiD ondersteunt voor de websitedomeinen alleen TLS v1.2. In 2022 wordt ondersteuning voor TLS v1.3 toegevoegd. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| DigiD Machtigen | TLS is geïmplementeerd. DigiD Machtigen ondersteunt TLS v1.2. Hieraan is een beperkte set aan cipher-suites toegekend, welke voldoen aan norm ‘voldoende’ en ‘goed’ in de NCSC “ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v2.0” TLS 1.0 en 1.1 worden niet meer ondersteund op machtigen.digid.nl. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| DigiInkoop | DigiInkoop is TLS 1.2 compliant (zie: https://internet.nl/mail/digiinkoop.nl/). mta.dc.ordina.nl is uitgefaseerd. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Digipoort | Digipoort ondersteunt TLS v1.2, maar niet meer de verouderde versies. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| EHerkenning Idensys Stelsel Elektronische Toegangsdiensten | Mailservers, webdomein en het netwerk eHerkenning ondersteunen alleen veilige TLS-versies (>= TLS 1.2) | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| HR (Basisregistratie Handelsregister) | De mailserver kvk-nl.mail.protection.outlook.com ondersteunt nog TLS 1.1. Dit is een externe mailserver. De leverancier (Microsoft) dient de TLS versies uit te faseren. De KVK zal dit opnemen met de leverancier. Op deze mailserver wordt ook TLS 1.2 ondersteunt. KVK is actief bezig om alle TLS implementaties op versie 1.3 te krijgen, daarbij is ook de Wet Digitale Overheid een belangrijke aanleiding. Dat verloopt voorspoedig. Een uitzondering geldt voor een stuk legacy-programmatuur (AS/400 software) waar TLS 1.0 nog wordt gebruikt. Hiervoor zal een exceptie met risicoanalyse worden opgesteld ter nadere bespreking. In afwachting van de uitfasering van deze legacy willen wij zo min mogelijk aanpassingen daarin doen. Het uitfaseren van deze legacy heeft nogal wat vertraging bij ons opgelopen, waardoor dit in 2022 nog niet is afgerond. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| MijnOverheid | In de dienstverlening aan burgers maakt MijnOverheid gebruik van een TLS 1.2-verbinding (zie: https://internet.nl/site/mijn.overheid.nl). De koppelingen met afnemers (overheidsorganisaties) lopen ook via TLS op basis van PKIoverheid-certificaten. MijnOverheid gebruikt TLS 1.2 en veilige cipher suites. Een aantal oude ciphers wordt nog ondersteund omdat er anders problemen ontstaan bij afnemers, burgers e.d. TLS 1.3 moet nog geïmplementeerd worden. Oudere versies worden niet meer geaccepteerd. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Ondernemersplein | De websites ondernemersplein.kvk.nl en www.kvk.nl zijn beveiligd met minimaal TLS 1.2. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Rijksoverheid.nl e-mail | De nieuwe versies en oude worden ondersteund. Best practice is de oude TLS versies aan laten staan op de mailservers i.v.m. interoperabiliteit. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Samenwerkende catalogi | De SC API (zoekdienst.overheid.nl) voldoet niet aan deze standaard. De verwachting is dat het voldoen in 2022 gaat plaatsvinden. | gepland | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Standard Business Reporting (SBR) | De verbinding alleen mogelijk voor voldoende veilige TLS-versies (zie: https://internet.nl/site/www.sbr-nl.nl/#). In geval van Digipoort geldt voor de markt bij koppelvlak WUS en ebMS dat TLS 1.2 de standaard is. TLS 1.0 (en mogelijk ook 1.1) is uitgefaseerd. SSL v3 en v3.1 zijn in 2015 uitgefaseerd. Het koppelvlak Grote Berichten 3.0 worden op TLS 1.0 en TLS 1.1 aangeboden. TLS 1.0 en TLS 1.1 worden nog uitgefaseerd. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| WOZ Waardeloket | Het Kadaster eist minimaal TLS 1.2. De inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) van het Kadaster hebben geen ondersteuning voor Secure Renegotiation. Het probleem raakt alle Kadaster endpoints. Tegenwoordig wordt het meeste verkeer op de IPS/IDS ontsleuteld om zicht te krijgen op aanvallen (threats). Wanneer de IDS/IPS een threat detecteert wordt de verbinding gereset. Daardoor houdt het Kadaster veel problemen buiten de deur. Het nadeel is dat pentesten door deze aanpak constateren dat het Kadaster Secure Renegotiation niet ondersteunt. Er wordt door onze IT-leverancier gezocht naar een oplossing voor dit probleem. | voldoet niet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Website RDW.nl | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 | |
| GBA-V (GBA Verstrekkingsvoorziening) Beheervoorziening BSN | De voorziening ondersteunt zowel TLS 1.2, 1.1 als 1.0. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Doc-Direkt | TLS v 1.2 is van toepassing en behoort tot de dienstverlening van SSC-ICT. Er wordt gewerkt aan TLS 1.3. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DWR (Digitale Werkomgeving Rijksdienst) | De op de werkplek aangeboden browsers ondersteunen TLS. De internet mailvoorziening werkt met STARTTLS. Voor webservers met applicaties van klanten wordt dit toegepast voor de klanten die dit hebben aangevraagd. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| ODC-Noord | Het beleid van ODC-Noord voor internet-gekoppelde systemen is dat TLS (in volgorde) van TLS1.2, TLS1.1 wordt aangeboden. TLS 1.0 wordt niet toegepast tenzij er een explain komt van de site-eigenaar. https://internet.nl/site/sso-noord.nl/574393/#control-panel-11; sso-noord.nl voldoet niet aan de standaard. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Overheid.nl | De mail vanuit overheid.nl is 100% compliant. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| P-Direkt | Alle diensten van P-Direkt die door middel van HTTP worden ontsloten, worden aangeboden via TLS v1.0, v1.1 en v1.2. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| PDOK | Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.pdok.nl/). PDOK volgt de richtlijnen van het NCSC voor TLS. Hieruit blijkt dat mogelijke problemen met cipher-volgorde wat betreft vertrouwelijkheid geen risico vormen, omdat de data openbaar is volgens de BIV classificatie. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| PKIoverheid | Zowel het PKIoverheid deel van de website van Logius als de website van PKIoverheid zelf maken gebruik van TLS 1.2 (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/) | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Rijksoverheid.nl | Het webdomein van rijksoverheid.nl voldoet aan TLS (zie: https://internet.nl/site/www.rijksoverheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
| Rijkspas | TLS wordt gebruikt voor het veilig ontsluiten van de website voor IdT. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| TenderNed | TenderNed past TLS 1.2 toe (zie: https://internet.nl/site/www.tenderned.nl/). Voor een aantal koppelingen wordt nog TLS 1.0 gebruikt voor compatibiliteit. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |