TLS

Uit NORA Online
Versie door Jdirks2 (Overleg | bijdragen) op 24 mrt 2021 om 17:59 (Tekst vervangen - "|Realiseert=Lijst Open Standaarden voor Pas Toe of Leg Uit " door "")

(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken


Standaard.png
Naam: TLS
ID: TLS
Type: Standaard
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: FS:TLS
Veilige verbinding


TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.

TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.

  • Nut: TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken.

TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.



Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.

 

  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector
  • Waarvoor geldt de verplichting: Bij het investeren in ICT systemen waarbij gegevens worden uitgewisseld tussen clients en servers. Bijvoorbeeld websites en e-mail systemen maar ook machine-to-machine (M2M) communicatie en internet of things (IoT) toepassingen.

Meer informatie

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/ ).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRI (Basisregistratie Inkomen)De actuele versies van TLS maken deel uit van de standaard beveiligingsrichtlijnen van de Belastingdienst.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)De BRO gebruikt SSL (TLS) certificaten voor inname en uitgifte APIs en voor beveiligde gegevensuitwisseling met PDOK.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRT (Basisregistratie Topografie)Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Berichtenbox voor bedrijvenDe Berichtenbox maakt gebruik van TLS 1.2 (zie: https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/). Client-initiated renegotiation komt niet door de test. Client-initiated renegotiation (CIR) heeft impact op de beschikbaarheid en niet op de vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen. Kort samengevat: wij zien CIR niet als een beveiligingsissue en is ook niet als zodanig in de Pentest naar voren gekomen.voldoet nietvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiDDigiD ondersteunt voor de website-domeinen alleen TLS v1.2. Voor het backend-domein digid.nl is vanwege ondersteuning van afnemers met oudere backend-systemen een risicoafweging gemaakt om nog een aantal "uit te faseren" ciphersuites te handhaven.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiD MachtigenTLS is geïmplementeerd. DigiD Machtigen ondersteunt TLS v1.2. TLS 1.0 en 1.1 worden niet meer ondersteund. We hebben nog een waarschuwing voor cypher volgorde en we ondersteunen onvoldoende veilige parameters voor Diffie-Hellman-sleuteluitwisseling. Dit staat op de planning voor de patchronde van juli 2020.geplandvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiInkoopDigiInkoop is TLS 1.2 compliant (zie: https://internet.nl/mail/digiinkoop.nl/). mta.dc.ordina.nl is uitgefaseerd.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigipoortDigipoort ondersteunt TLS v1.2, maar niet meer de verouderde versies.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Stelsel Elektronische Toegangsdiensten
Idensys
EHerkenning
Het Afsprakenstelsel Elektronische Toegangsdiensten stelt het gebruik van TLS volgens de richtlijnen van het NCSC verplicht. Ondersteunde e-mailservers, die geen onderdeel uitmaken van het netwerk, voldoen niet volledig (zie: https://internet.nl/mail/eherkenning.nl/). Voor inkomende e-mail wordt door Logius gebruik gemaakt van de dienstverlening van het Shared Service Centrum van het Rijk (SSC-ICT).voldoet deelsvan toepassingMonitor Open Standaarden 202011 februari 2021
MijnOverheidIn de dienstverlening aan burgers maakt MijnOverheid gebruik van een TLS 1.2-verbinding (zie: https://internet.nl/site/mijn.overheid.nl). De koppelingen met afnemers (overheidsorganisaties) lopen ook via TLS op basis van PKIoverheid-certificaten. MijnOverheid gebruikt TLS 1.2 en veilige cipher suites. Een aantal oude ciphers wordt nog ondersteund omdat er anders problemen ontstaan bij afnemers, burgers e.d. TLS 1.3 moet nog geïmplementeerd worden. Oudere versies worden niet meer geaccepteerd.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
NHR (Basisregistratie Handelsregister)De mailserver kvk-nl.mail.protection.outlook.com ondersteunt nog TLS 1.1. Dit is een externe mailserver. De leverancier (Microsoft) dient de TLS versies uit te faseren. De KVK zal dit opnemen met de leverancier. Op deze mailserver wordt ook TLS 1.2 ondersteunt. KVK is actief bezig om alle TLS implementaties op versie 1.3 te krijgen, daarbij is ook de Wet Digitale Overheid een belangrijke aanleiding. Dat verloopt voorspoedig. Een uitzondering geldt voor een stuk legacy-programmatuur (AS/400 software) waar TLS 1.0 nog wordt gebruikt. Hiervoor zal een exceptie met risicoanalyse worden opgesteld ter nadere bespreking. In afwachting van de uitfasering van deze legacy willen wij zo min mogelijk aanpassingen daarin doen. Het uitfaseren van deze legacy heeft nogal wat vertraging bij ons opgelopen en niet zeker is of dit in 2020 kan worden afgerond.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
OndernemerspleinDe websites ondernemersplein.kvk.nl en www.kvk.nl zijn TLS 1.2 of beter beveiligd.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Rijksoverheid.nl e-mailDe nieuwe versies en oude worden ondersteund. Best practice is de oude TLS versies aan laten staan op de mailservers i.v.m. interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving. Het uitzetten kan tot gevolg hebben dat er onvercijferd wordt gecommuniceerd.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Samenwerkende catalogiDe validator van Samenwerkende Catalogi voldoet niet meer aan deze standaard. Gepland is om dit mee te nemen in de migratie naar een andere provider. De verwachting is dat dit in 2020 gaat plaatsvinden.voldoet nietvan toepassingMonitor Open Standaarden 202011 februari 2021
Standard Business Reporting (SBR)De verbinding alleen mogelijk voor voldoende veilige TLS-versies (zie: https://internet.nl/site/www.sbr-nl.nl/#). In geval van Digipoort geldt voor de markt bij koppelvlak WUS en ebMS dat TLS 1.2 de standaard is. TLS 1.0 (en mogelijk ook 1.1) is uitgefaseerd. SSL v3 en v3.1 zijn in 2015 uitgefaseerd. Het koppelvlak Grote Berichten 3.0 worden op TLS 1.0 en TLS 1.1 aangeboden. TLS 1.0 en TLS 1.1 worden nog uitgefaseerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Website RDW.nlRDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling. Er wordt nog gekeken naar verbetering van instellingen, zodat TLS voldoende veilig wordt geïmplementeerd (zie: https://internet.nl/mail/rdw.nl/).voldoet nietvan toepassingMonitor Open Standaarden 202011 februari 2021
BV BSN (Beheervoorziening BSN)
GBA-V (GBA Verstrekkingsvoorziening)
De voorziening ondersteunt zowel TLS 1.2, 1.1 als 1.0.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Doc-DirektTLS v 1.2 is van toepassing en behoort tot de dienstverlening van SSC-ICT. Er wordt gewerkt aan TLS 1.3. voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)De op de werkplek aangeboden browsers ondersteunen TLS. De internet mailvoorziening werkt met STARTTLS. Voor webservers met applicaties van klanten wordt dit toegepast voor de klanten die dit hebben aangevraagd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordHet beleid van ODC-Noord voor internet-gekoppelde systemen is dat TLS (in volgorde) van TLS1.2, TLS1.1 wordt aangeboden. TLS 1.0 wordt niet toegepast tenzij er een explain komt van de site-eigenaar. https://internet.nl/site/sso-noord.nl/574393/#control-panel-11; sso-noord.nl voldoet niet aan de standaard. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlOp de website is het volledig doorgevoerd. De mailomgeving geeft een melding. Deze wordt opgelost in oktober 2020.geplandvan toepassingMonitor Open Standaarden 202011 februari 2021
P-DirektAlle diensten van P-Direkt die door middel van HTTP worden ontsloten, worden aangeboden via TLS v1.0, v1.1 en v1.2.  voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
PDOKDeze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.pdok.nl/). PDOK volgt de richtlijnen van het NCSC voor TLS. Hieruit blijkt dat mogelijke problemen met cipher-volgorde wat betreft vertrouwelijkheidDe eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen geen risico vormen, omdat de data openbaar is volgens de BIV classificatie.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
PKIoverheidHet PKIoverheid deel van de website van Logius maakt gebruik van TLS 1.1 en 1.2 en de website van PKIoverheid zelf maakt gebruik van TLS 1.2 (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). Uit te faseren ciphers voor pkioverheid.nl worden opgepakt bij vernieuwing van website.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Rijksoverheid.nlHet webdomein van rijksoverheid.nl voldoet aan TLS (zie: https://internet.nl/site/www.rijksoverheid.nl/).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
RijkspasTLS wordt gebruikt voor het veilig ontsluiten van de website voor IdT. voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
TenderNedTenderNed past TLS 1.2 toe (zie: https://internet.nl/site/www.tenderned.nl/). Voor een aantal koppelingen wordt nog TLS 1.0 gebruikt voor compatibiliteit.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Toelichting: Bouwstenen en gebruikte standaarden