Bericht van onze Security Officer: Uitfasering van TLS 1.0 en 1.1

Onze security officer Thijs schrijft één keer per twee maanden een blog over trends en ontwikkelingen op het gebied van informatiebeveiliging. Met vandaag: het uitfaseren van internetprotocollen TLS 1.0 en TLS 1.1.

Techniek blijft zich in een rap tempo ontwikkelen. Dit maakt het mogelijk om heel veel mooie dingen te doen, zoals JOIN gebruiken vanuit elke plek in de wereld. Mits de verbinding veilig is, natuurlijk.

En dat is waar deze blog over gaat: een veilige verbinding. Om veilig te kunnen werken met onze producten, worden de websites van onze producten alleen aangeboden via HTTPS. HTTPS is de Secure variant van HTTP. Om de S mogelijk te maken kunnen er verschillende protocollen gebruikt worden.

Het ontstaan van TLS

Toen men net begon met HTTPS was er het protocol Secure Socket Layer (SSL). Versie 1.0 van dit protocol is indertijd door het bedrijf Netscape ontwikkeld. Uiteindelijk zijn er 3 versies van SSL geweest, alvorens Netscape het beheer overgaf aan de IETF (Internet Engineering Taskforce).

Omdat HTTPS toen al redelijk veel gebruikt werd, hoor je vaak dat HTTPS voor HTTP Secure Socket Layer staat. Maar dat is dus niet zo.

Nadat de IETF zich er mee ging bemoeien werd SSL omgedoopt naar Transport Layer Security (TLS). Helaas voor ons allemaal is alleen de versienummering van SSL niet overgenomen waardoor we weer terug bij "af" waren, namelijk 1.0.

TLS 1.2 het meest gebruikt

Momenteel is TLS versie 1.3 de meeste recente versie van het TLS protocol. Deze versie is sinds eind 2018 beschikbaar, maar wordt nog niet overal gebruikt. Dit gaat uiteraard nog wel gebeuren. TLS versie 1.2 wordt op dit moment het meest gebruikt (en zou gebruikt moeten worden).

TLS versie 1.2 stamt overigens ook al weer uit 2008, maar wordt door onder andere het NCSC nog als veilig bestempelt. De versies TLS 1.0 en 1.1 echter niet meer. TLS maakt gebruik van verschillende "onderdelen" en in de verouderde versies zijn deze onderdelen niet als voldoende veilig te bestempelen. Vandaar dat de 'browser-industrie' (IETF, Google, Mozilla en dergelijke) het ondersteunen van deze protocollen gaan uitfaseren. Deze uitfasering is door hen aan het eind van maart 2020 gepland.

Blijf up-to-date

Uiteraard gaat Decos mee en heeft al zijn producten voorbereid op deze komende veranderingen. Al onze producten zijn vanaf versie 2019.3 geschikt om TLS versie 1.2 aan te kunnen. Voor onze klanten in de private cloud is er overigens op te merken dat onze provider True op hun omgeving de oude versies ook niet meer gaat ondersteunen.

Om zo veilig te mogelijk te werken wordt dus aanbevolen om gebruik te maken van de meest recent JOIN software (of minimaal 2019.3). En: houd uw browsers altijd up-to-date! Op die manier is er geen impact en kan er overal veilig gewerkt worden.