FS:TLS
- Deze gegevens zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/TLS
| Over de standaard | |
|---|---|
| Beschrijving | Veilige verbinding |
| Lijst status | Verplicht (pas toe leg uit) |
| Uitleg | |
| Nut | TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken. |
| Werking | Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl |
| Waarvoor geldt de verplichting | Bij het investeren in ICT systemen waarbij gegevens worden uitgewisseld tussen clients en servers. Bijvoorbeeld websites en e-mail systemen maar ook machine-to-machine (M2M) communicatie en internet of things (IoT) toepassingen. |
| Trefwoorden | |
| Detailinformatie | |
| Beheerorganisatie | IETF |
| Uitstekend beheer | |
| Specificatiedocument | http://datatracker.ietf.org/doc/rfc5246/ |
| Volledige naam | Transport Layer Security Protocol Version |
| Version | 1.2, 1.1 en 1.0 |
| Inkoop | |
| Aandachtspunten | |
| Sjabloon-bestektekst | |
| CPV-code(s) | |
| Implementatie | |
| Conformiteitstest | Rondom de toepassing van TLS zijn er verschillende configuratie-opties (bijv. Forward Secrecy, ciphers, HSTS) die zeer bepalend zijn voor het te bereiken beveiligingsniveau. Conformiteit kan je toetsen via onderstaande site. https://internet.nl/ https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet https://www.ssllabs.com/projects/best-practices/ |
| Domein | Internet & Beveiliging |
| Relatie met andere standaarden | |
| Toelichting | |
| Toetsingsinformatie | |
| Hulpmiddelen | Het NCSC heeft ICT-beveiligingsrichtlijnen voor TLS gepubliceerd: https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls.html InformatieBetekenisvolle gegevens. over hoe om te gaan met implementatie van de standaard vindt u in dit refentiedocument van ENISA. Dit is een uitgaven van de Europese Unie: http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-size-and-parameters-report-2014. |
| Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening | TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie. |
| Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. | Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector |
| Toelichting bij opname | TLS 1.2 wordt door experts beschouwd als de meest veilige versie. Deze versie is daarom de norm. Deze is niet echter ‘backwards compatible’ Ten behoeve van de interoperabiliteitInteroperabiliteit is het vermogen van organisaties (en hun processen en systemen) om effectief en efficiënt informatie te delen met hun omgeving dienen daarom ook de versies 1.1 en 1.0 toegepast te worden, met name als wederpartijen (nog) niet klaar zijn voor versie 1.2. Toepassing van versie 3 en ouder van SSL (‘TLS-voorloper’) wordt ontraden vanwege bekende ernstige kwetsbaarheden. Zie hiervoor ook dit advies van NSCS over kwetsbaarheden in SSL3.0 |
| Datum van aanmelding | |
| Datum van besluit | 16-09-2014 |
| Europese status (MSP) | Nee |
| Documentatie | https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_4.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_15.pdf |
| Forum-Adviezen | |
| Advies aan beheerder | |
| Adoptieadviezen | Aan overheden: Controleer regelmatig met behulp van beschikbare validatie-tools, zoals de SSLlabs server test , of voor beveiligde verbindingen TLS1.2 en eventueel aanvullend versies 1.0 en 1.1 worden toegepast en controleer ook de veilige configuratie daarvan aan de hand van beschikbare best practices.2 Dat geldt voor alle overheden, maar met name voor organisaties die gemeenschappelijke voorzieningen leveren zoals SSC-ICT, DPC/AZ, DICTU, ICTU en Logius. Aan NCSC: Ontwikkel en publiceer in samenwerking met experts van andere organisaties, zoals Logius (PKIoverheid) en beheerders van sectorale Baselines Informatiebeveiliging, een richtlijn voor veilige TLS-configuratie en houd deze up-to-date. In deze richtlijn zou het gebruik van versie 1.2 en de relatie tot de andere versies van TLS een belangrijke rol moeten innemen, evenals de te ondersteunen cryptografische algoritmen en het afslaan van bekende aanvallen op TLS. Verder zou het gebruik van bepaalde TLS validatie-tools moeten worden aangeraden. |
| Leveranciers | De volgende leveranciers hebben het leveranciersmanifest ondetekend en geven aan expertise m.b.t. deze standaard te bezitten: Lost Lemon |
