TLS

Uit NORA Online
Naar navigatie springen Naar zoeken springen


Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
Naam
TLS
ID

TLS

Type

Standaard

Wijzigingsdatum
Laag Vijflaagsmodel
Laag 5: IT-Infrastructuurlaag
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: TLS


TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.

TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.
  • Nut: TLS zorgt voor beveiligde internetverbindingen, met als doel de veilige uitwisseling van gegevens tussen een internetsystemen (zoals websites of mailservers). Dit maakt het voor cybercriminelen moeilijker om internetverkeer te onderscheppen of te manipuleren.
  • Werking: TLS zorgt door middel van de uitwisseling van certificaten voor de versleuteling van gegevens tijdens het transport tussen internetsystemen. De certificaten bieden ook zekerheid over de identiteit van beide communicerende partijen. TLS kan bovenop bestaande internetstandaarden, zoals voor webverkeer en e-mailverkeer, worden gebruikt.


Waar toepasbaar

  • Functioneel toepassingsgebied: TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.
  • Organisatorisch werkingsgebied: Overheden en instellingen uit de (semi-) publieke sector

Meer informatie

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
BAG (Basisregistratie Adressen en Gebouwen)
Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/ ).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRI (Basisregistratie Inkomen)De actuele versies van TLS maken deel uit van de standaard beveiligingsrichtlijnen van de Belastingdienst.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)De BRO gebruikt SSL (TLS) certificaten voor inname en uitgifte APIs en voor beveiligde gegevensuitwisseling met PDOK.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRT (Basisregistratie Topografie)Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Berichtenbox voor bedrijvenDe Berichtenbox ondersteunt veilige TLS-versies.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
DigiDDigiD ondersteunt voor de websitedomeinen alleen TLS v1.2. In 2022 wordt ondersteuning voor TLS v1.3 toegevoegd.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
DigiD MachtigenTLS is geïmplementeerd. DigiD Machtigen ondersteunt TLS v1.2. Hieraan is een beperkte set aan cipher-suites toegekend, welke voldoen aan norm ‘voldoende’ en ‘goed’ in de NCSC “ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) v2.0” TLS 1.0 en 1.1 worden niet meer ondersteund op machtigen.digid.nl.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
DigiInkoopDigiInkoop is TLS 1.2 compliant (zie: https://internet.nl/mail/digiinkoop.nl/). mta.dc.ordina.nl is uitgefaseerd.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
DigipoortDigipoort ondersteunt TLS v1.2, maar niet meer de verouderde versies.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
EHerkenning
Idensys
Stelsel Elektronische Toegangsdiensten
Mailservers, webdomein en het netwerk eHerkenning ondersteunen alleen veilige TLS-versies (>= TLS 1.2)voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
HR (Basisregistratie Handelsregister)De mailserver kvk-nl.mail.protection.outlook.com ondersteunt nog TLS 1.1. Dit is een externe mailserver. De leverancier (Microsoft) dient de TLS versies uit te faseren. De KVK zal dit opnemen met de leverancier. Op deze mailserver wordt ook TLS 1.2 ondersteunt. KVK is actief bezig om alle TLS implementaties op versie 1.3 te krijgen, daarbij is ook de Wet Digitale Overheid een belangrijke aanleiding. Dat verloopt voorspoedig. Een uitzondering geldt voor een stuk legacy-programmatuur (AS/400 software) waar TLS 1.0 nog wordt gebruikt. Hiervoor zal een exceptie met risicoanalyse worden opgesteld ter nadere bespreking. In afwachting van de uitfasering van deze legacy willen wij zo min mogelijk aanpassingen daarin doen. Het uitfaseren van deze legacy heeft nogal wat vertraging bij ons opgelopen, waardoor dit in 2022 nog niet is afgerond.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
MijnOverheidIn de dienstverlening aan burgers maakt MijnOverheid gebruik van een TLS 1.2-verbinding (zie: https://internet.nl/site/mijn.overheid.nl). De koppelingen met afnemers (overheidsorganisaties) lopen ook via TLS op basis van PKIoverheid-certificaten. MijnOverheid gebruikt TLS 1.2 en veilige cipher suites. Een aantal oude ciphers wordt nog ondersteund omdat er anders problemen ontstaan bij afnemers, burgers e.d. TLS 1.3 moet nog geïmplementeerd worden. Oudere versies worden niet meer geaccepteerd.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
OndernemerspleinDe websites ondernemersplein.kvk.nl en www.kvk.nl zijn beveiligd met minimaal TLS 1.2.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Rijksoverheid.nl e-mailDe nieuwe versies en oude worden ondersteund. Best practice is de oude TLS versies aan laten staan op de mailservers i.v.m. interoperabiliteit.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Samenwerkende catalogiDe SC API (zoekdienst.overheid.nl) voldoet niet aan deze standaard. De verwachting is dat het voldoen in 2022 gaat plaatsvinden.geplandvan toepassingMonitor Open Standaarden 202218 november 2022
Standard Business Reporting (SBR)De verbinding alleen mogelijk voor voldoende veilige TLS-versies (zie: https://internet.nl/site/www.sbr-nl.nl/#). In geval van Digipoort geldt voor de markt bij koppelvlak WUS en ebMS dat TLS 1.2 de standaard is. TLS 1.0 (en mogelijk ook 1.1) is uitgefaseerd. SSL v3 en v3.1 zijn in 2015 uitgefaseerd. Het koppelvlak Grote Berichten 3.0 worden op TLS 1.0 en TLS 1.1 aangeboden. TLS 1.0 en TLS 1.1 worden nog uitgefaseerd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
WOZ WaardeloketHet Kadaster eist minimaal TLS 1.2. De inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) van het Kadaster hebben geen ondersteuning voor Secure Renegotiation. Het probleem raakt alle Kadaster endpoints. Tegenwoordig wordt het meeste verkeer op de IPS/IDS ontsleuteld om zicht te krijgen op aanvallen (threats). Wanneer de IDS/IPS een threat detecteert wordt de verbinding gereset. Daardoor houdt het Kadaster veel problemen buiten de deur. Het nadeel is dat pentesten door deze aanpak constateren dat het Kadaster Secure Renegotiation niet ondersteunt. Er wordt door onze IT-leverancier gezocht naar een oplossing voor dit probleem.voldoet nietvan toepassingMonitor Open Standaarden 202218 november 2022
Website RDW.nlvoldoetvan toepassingMonitor Open Standaarden 202218 november 2022
GBA-V (GBA Verstrekkingsvoorziening)
Beheervoorziening BSN
De voorziening ondersteunt zowel TLS 1.2, 1.1 als 1.0.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Doc-DirektTLS v 1.2 is van toepassing en behoort tot de dienstverlening van SSC-ICT. Er wordt gewerkt aan TLS 1.3. voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)De op de werkplek aangeboden browsers ondersteunen TLS. De internet mailvoorziening werkt met STARTTLS. Voor webservers met applicaties van klanten wordt dit toegepast voor de klanten die dit hebben aangevraagd.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordHet beleid van ODC-Noord voor internet-gekoppelde systemen is dat TLS (in volgorde) van TLS1.2, TLS1.1 wordt aangeboden. TLS 1.0 wordt niet toegepast tenzij er een explain komt van de site-eigenaar. https://internet.nl/site/sso-noord.nl/574393/#control-panel-11; sso-noord.nl voldoet niet aan de standaard. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlDe mail vanuit overheid.nl is 100% compliant.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
P-DirektAlle diensten van P-Direkt die door middel van HTTP worden ontsloten, worden aangeboden via TLS v1.0, v1.1 en v1.2.  voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
PDOKDeze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.pdok.nl/). PDOK volgt de richtlijnen van het NCSC voor TLS. Hieruit blijkt dat mogelijke problemen met cipher-volgorde wat betreft vertrouwelijkheid geen risico vormen, omdat de data openbaar is volgens de BIV classificatie.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
PKIoverheidZowel het PKIoverheid deel van de website van Logius als de website van PKIoverheid zelf maken gebruik van TLS 1.2 (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/)voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Rijksoverheid.nlHet webdomein van rijksoverheid.nl voldoet aan TLS (zie: https://internet.nl/site/www.rijksoverheid.nl/).voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
RijkspasTLS wordt gebruikt voor het veilig ontsluiten van de website voor IdT. voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
TenderNedTenderNed past TLS 1.2 toe (zie: https://internet.nl/site/www.tenderned.nl/). Voor een aantal koppelingen wordt nog TLS 1.0 gebruikt voor compatibiliteit.voldoetvan toepassingMonitor Open Standaarden 202218 november 2022
Toelichting: Bouwstenen en gebruikte standaarden