TLS
 ID: TLS Sjabloon:Titel laag1, 5 |
Veilige verbinding
TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken. Versies 1.3 en 1.2 moeten op moment worden gebruikt.
TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.
- Nut: TLS is een protocol, dat tot doel heeft om beveiligde verbindingen op de transportlaag over het internet te verzorgen. De standaard wordt gebruikt bovenop standaard internet transport protocollen (TCP/IP) en biedt een beveiligde basis, waar applicatie protocollen als HTTP (webverkeer) of SMTP en IMAP (mailuitwisseling) op hun beurt weer op kunnen bouwen en gebruik van kunnen maken.
TLS maakt gebruik van certificaten om zekerheid te bieden over de identiteit van beide communicerende partijen voordat communicatie plaatsvindt. Ook wordt met behulp van (het sleutelpaar van) de certificaten op betrouwbare wijze de encryptiesleutel uitgewisseld, die de standaard vervolgens gebruikt om met behulp van encryptietechniek beveiligde communicatie tussen partijen mogelijk te maken.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: TLS moet worden toegepast op de uitwisseling van gegevens tussen clients en servers, inclusief machine-to-machine communicatie.
- Organisatorisch werkingsgebied: Overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de publieke sector
- Waarvoor geldt de verplichting: Bij het investeren in ICT systemen waarbij gegevens worden uitgewisseld tussen clients en servers. Bijvoorbeeld websites en e-mail systemen maar ook machine-to-machine (M2M) communicatie en internet of things (IoT) toepassingen.
Meer informatie
- http://datatracker.ietf.org/doc/rfc5246/, https://www.forumstandaardisatie.nl/open-standaarden/TLS
- http://datatracker.ietf.org/doc/rfc5246/
- Beheerorganisatie: IETF
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg Uit
Toepassing in voorzieningen en bouwstenen
| Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
|---|---|---|---|---|---|
| BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BAG (Basisregistratie Adressen en Gebouwen) | Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/ ). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRI (Basisregistratie Inkomen) | De actuele versies van TLS maken deel uit van de standaard beveiligingsrichtlijnen van de Belastingdienst. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRO (Basisregistratie Ondergrond) | De BRO gebruikt SSL (TLS) certificaten voor inname en uitgifte APIs en voor beveiligde gegevensuitwisseling met PDOK. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRT (Basisregistratie Topografie) | Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.kadaster.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| BRV (Basisregistratie Voertuigen) | RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Berichtenbox voor bedrijven | De Berichtenbox maakt gebruik van TLS 1.2 (zie: https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/). Client-initiated renegotiation komt niet door de test. Client-initiated renegotiation (CIR) heeft impact op de beschikbaarheid en niet op de vertrouwelijkheid. Kort samengevat: wij zien CIR niet als een beveiligingsissue en is ook niet als zodanig in de Pentest naar voren gekomen. | voldoet niet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DigiD | DigiD ondersteunt voor de website-domeinen alleen TLS v1.2. Voor het backend-domein digid.nl is vanwege ondersteuning van afnemers met oudere backend-systemen een risicoafweging gemaakt om nog een aantal "uit te faseren" ciphersuites te handhaven. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DigiD Machtigen | TLS is geïmplementeerd. DigiD Machtigen ondersteunt TLS v1.2. TLS 1.0 en 1.1 worden niet meer ondersteund. We hebben nog een waarschuwing voor cypher volgorde en we ondersteunen onvoldoende veilige parameters voor Diffie-Hellman-sleuteluitwisseling. Dit staat op de planning voor de patchronde van juli 2020. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| DigiInkoop | DigiInkoop is TLS 1.2 compliant (zie: https://internet.nl/mail/digiinkoop.nl/). mta.dc.ordina.nl is uitgefaseerd. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Digipoort | Digipoort ondersteunt TLS v1.2, maar niet meer de verouderde versies. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| EHerkenning Idensys Stelsel Elektronische Toegangsdiensten | Het Afsprakenstelsel Elektronische Toegangsdiensten stelt het gebruik van TLS volgens de richtlijnen van het NCSC verplicht. Ondersteunde e-mailservers, die geen onderdeel uitmaken van het netwerk, voldoen niet volledig (zie: https://internet.nl/mail/eherkenning.nl/). Voor inkomende e-mail wordt door Logius gebruik gemaakt van de dienstverlening van het Shared Service Centrum van het Rijk (SSC-ICT). | voldoet deels | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| MijnOverheid | In de dienstverlening aan burgers maakt MijnOverheid gebruik van een TLS 1.2-verbinding (zie: https://internet.nl/site/mijn.overheid.nl). De koppelingen met afnemers (overheidsorganisaties) lopen ook via TLS op basis van PKIoverheid-certificaten. MijnOverheid gebruikt TLS 1.2 en veilige cipher suites. Een aantal oude ciphers wordt nog ondersteund omdat er anders problemen ontstaan bij afnemers, burgers e.d. TLS 1.3 moet nog geïmplementeerd worden. Oudere versies worden niet meer geaccepteerd. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| NHR (Basisregistratie Handelsregister) | De mailserver kvk-nl.mail.protection.outlook.com ondersteunt nog TLS 1.1. Dit is een externe mailserver. De leverancier (Microsoft) dient de TLS versies uit te faseren. De KVK zal dit opnemen met de leverancier. Op deze mailserver wordt ook TLS 1.2 ondersteunt. KVK is actief bezig om alle TLS implementaties op versie 1.3 te krijgen, daarbij is ook de Wet Digitale Overheid een belangrijke aanleiding. Dat verloopt voorspoedig. Een uitzondering geldt voor een stuk legacy-programmatuur (AS/400 software) waar TLS 1.0 nog wordt gebruikt. Hiervoor zal een exceptie met risicoanalyse worden opgesteld ter nadere bespreking. In afwachting van de uitfasering van deze legacy willen wij zo min mogelijk aanpassingen daarin doen. Het uitfaseren van deze legacy heeft nogal wat vertraging bij ons opgelopen en niet zeker is of dit in 2020 kan worden afgerond. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Ondernemersplein | De websites ondernemersplein.kvk.nl en www.kvk.nl zijn TLS 1.2 of beter beveiligd. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijksoverheid.nl e-mail | De nieuwe versies en oude worden ondersteund. Best practice is de oude TLS versies aan laten staan op de mailservers i.v.m. interoperabiliteit. Het uitzetten kan tot gevolg hebben dat er onvercijferd wordt gecommuniceerd. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Samenwerkende catalogi | De validator van Samenwerkende Catalogi voldoet niet meer aan deze standaard. Gepland is om dit mee te nemen in de migratie naar een andere provider. De verwachting is dat dit in 2020 gaat plaatsvinden. | voldoet niet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Standard Business Reporting (SBR) | De verbinding alleen mogelijk voor voldoende veilige TLS-versies (zie: https://internet.nl/site/www.sbr-nl.nl/#). In geval van Digipoort geldt voor de markt bij koppelvlak WUS en ebMS dat TLS 1.2 de standaard is. TLS 1.0 (en mogelijk ook 1.1) is uitgefaseerd. SSL v3 en v3.1 zijn in 2015 uitgefaseerd. Het koppelvlak Grote Berichten 3.0 worden op TLS 1.0 en TLS 1.1 aangeboden. TLS 1.0 en TLS 1.1 worden nog uitgefaseerd. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Website RDW.nl | RDW ondersteunt en gebruikt de TLS protocollen op de e-mail servers en Digikoppeling. Er wordt nog gekeken naar verbetering van instellingen, zodat TLS voldoende veilig wordt geïmplementeerd (zie: https://internet.nl/mail/rdw.nl/). | voldoet niet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| GBA-V (GBA Verstrekkingsvoorziening) BV BSN (Beheervoorziening BSN) | De voorziening ondersteunt zowel TLS 1.2, 1.1 als 1.0. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Doc-Direkt | TLS v 1.2 is van toepassing en behoort tot de dienstverlening van SSC-ICT. Er wordt gewerkt aan TLS 1.3. | voldoet niet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| DWR (Digitale Werkomgeving Rijksdienst) | De op de werkplek aangeboden browsers ondersteunen TLS. De internet mailvoorziening werkt met STARTTLS. Voor webservers met applicaties van klanten wordt dit toegepast voor de klanten die dit hebben aangevraagd. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| ODC-Noord | Het beleid van ODC-Noord voor internet-gekoppelde systemen is dat TLS (in volgorde) van TLS1.2, TLS1.1 wordt aangeboden. TLS 1.0 wordt niet toegepast tenzij er een explain komt van de site-eigenaar. https://internet.nl/site/sso-noord.nl/574393/#control-panel-11; sso-noord.nl voldoet niet aan de standaard. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| Overheid.nl | Op de website is het volledig doorgevoerd. De mailomgeving geeft een melding. Deze wordt opgelost in oktober 2020. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| P-Direkt | Alle diensten van P-Direkt die door middel van HTTP worden ontsloten, worden aangeboden via TLS v1.0, v1.1 en v1.2. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| PDOK | Deze standaard wordt volledig door het Kadaster ondersteund (zie: https://internet.nl/domain/www.pdok.nl/). PDOK volgt de richtlijnen van het NCSC voor TLS. Hieruit blijkt dat mogelijke problemen met cipher-volgorde wat betreft vertrouwelijkheid geen risico vormen, omdat de data openbaar is volgens de BIV classificatie. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| PKIoverheid | Het PKIoverheid deel van de website van Logius maakt gebruik van TLS 1.1 en 1.2 en de website van PKIoverheid zelf maakt gebruik van TLS 1.2 (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). Uit te faseren ciphers voor pkioverheid.nl worden opgepakt bij vernieuwing van website. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijksoverheid.nl | Het webdomein van rijksoverheid.nl voldoet aan TLS (zie: https://internet.nl/site/www.rijksoverheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
| Rijkspas | TLS wordt gebruikt voor het veilig ontsluiten van de website voor IdT. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
| TenderNed | TenderNed past TLS 1.2 toe (zie: https://internet.nl/site/www.tenderned.nl/). Voor een aantal koppelingen wordt nog TLS 1.0 gebruikt voor compatibiliteit. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Toelichting: Bouwstenen en gebruikte standaarden
