FS:TLS

Uit NORA Online
Ga naar: navigatie, zoeken
Deze gegevens zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/TLS
Over de standaard
Beschrijving Veilige verbinding
Lijst status Verplicht (pas toe leg uit)
Uitleg
Nut TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken.
TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.
Werking Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl
Waarvoor geldt de verplichting Bij het investeren in ICT systemen waarbij gegevens worden uitgewisseld tussen clients en servers. Bijvoorbeeld websites en e-mail systemen maar ook machine-to-machine (M2M) communicatie en internet of things (IoT) toepassingen.
Trefwoorden
Detailinformatie
BeheerorganisatieIETF
Uitstekend beheer
Specificatiedocumenthttp://datatracker.ietf.org/doc/rfc5246/
Volledige naamTransport Layer Security Protocol Version
Version1.2, 1.1 en 1.0
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest Rondom de toepassing van TLS zijn er verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau. Conformiteit kan je toetsen via onderstaande site.
https://internet.nl/
https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
https://www.ssllabs.com/projects/best-practices/
DomeinInternet & Beveiliging
Relatie met andere standaarden
Toelichting
Toetsingsinformatie
HulpmiddelenHet NCSC heeft ICT-beveiligingsrichtlijnen voor TLS gepubliceerd: https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls.html
InformatieBetekenisvolle gegevens. over hoe om te gaan met implementatie van de standaard vindt u in dit refentiedocument van ENISA. Dit is een uitgaven van de Europese Unie: http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-size-and-parameters-report-2014.
Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.
 
Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector
Toelichting bij opname TLS 1.2 wordt door experts beschouwd als de meest veilige versie. Deze versie is daarom de norm. Deze is niet echter ‘backwards compatible’ Ten behoeve van de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving dienen daarom ook de versies 1.1 en 1.0 toegepast te worden, met name als wederpartijen (nog) niet klaar zijn voor versie 1.2.

Toepassing van versie 3 en ouder van SSL (‘TLS-voorloper’) wordt ontraden vanwege bekende ernstige kwetsbaarheden. Zie hiervoor ook dit advies van NSCS over kwetsbaarheden in SSL3.0
Bij de toepassing van TLS is het van belang om kennis te nemen van de actuele internationale ‘best practices’ voor veilige TLS-configuratie bijv. van ENISA, OWASP en SSLlabs. Rondom de toepassing van TLS zijn er namelijk verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau.
TLS is cruciaal voor een veilige netwerkverbinding naar niet de enige maatregel. Het is van belang ook andere beveiligingsmaatregelen (waaronder beveiligingsstandaarden) bewust te overwegen.
Zoals blijkt uit het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening, is TLS alleen vereist als beveiliging van de netwerkverbinding waarover gegevens worden uitgewisseld   van belang is. Dit laatste kan volgen uit wet- en regelgeving en/of de beveiligingsvoorschriften binnen een organisatie.
In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van deze standaard TLS 1.2 aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.

 
Datum van aanmelding
Datum van besluit16-09-2014
Europese status (MSP)Nee
Documentatiehttps://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_4.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_15.pdf
Forum-Adviezen
Advies aan beheerder
AdoptieadviezenAan overheden: Controleer regelmatig met behulp van beschikbare validatie-tools, zoals de SSLlabs server test , of voor beveiligde verbindingen TLS1.2 en eventueel aanvullend versies 1.0 en 1.1  worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van beschikbare best practices.2 Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius.

Aan NCSC: Ontwikkel en publiceer in samenwerking met experts van andere organisaties, zoals Logius (PKIoverheid) en beheerders van sectorale Baselines Informatiebeveiliging, een richtlijn voor veilige TLS-configuratie en houd deze up-to-date. In deze richtlijn zou het gebruik van versie 1.2 en de relatie tot de andere versies van TLS een belangrijke rol moeten innemen, evenals de te ondersteunen cryptografische algoritmen en het afslaan van bekende aanvallen op TLS. Verder zou het gebruik van bepaalde TLS validatie-tools moeten worden aangeraden. 
Aan Logius/PKIoverheid: Breng de genoemde bestaande internationale ‘best practices’ voor veilige TLS-configuratie en straks de NCSC-richtlijn actief onder de aandacht van gebruikers van PKIoverheid.
Aan NCSC: Fungeer als vraagbaak op het gebied van toepassing van TLS voor de primaire doelgroep, de rijksoverheid en de vitale sectoren. Voor de secundaire doelgroep  kan de vraagbaakfunctie worden vormgegeven via de  schakelorganisaties van NCSC (zoals KING/IBD) .

Aan NCSC: Informeer het Forum Standaardisatie en andere overheden wanneer de veiligheidsstatus van de standaard wijzigt.
LeveranciersDe volgende leveranciers hebben het leveranciersmanifest ondetekend en geven aan expertise m.b.t. deze standaard te bezitten:

Lost Lemon