aankondigingen:2019:c2019d02-uitfaseren-tls-1-0

Differences

This shows you the differences between two versions of the page.


aankondigingen:2019:c2019d02-uitfaseren-tls-1-0 [2024/03/07 17:08] (current) – created - external edit 127.0.0.1
Line 1: Line 1:
 +~~META:
 +title = C2019D02: Uitfaseren TLS1.0 en TLS1.1
 +~~
 +{{htmlmetatags>
 + metatag-keywords=(TLS TLS1.0 TLS1.1 TLS1.2 TLS1.3 SSL)
 + metatag-og:title=(Uitfaseren TLS1.0 en TLS1.1 op NPO hosting platform)
 + metatag-og:description=(Op het NPO hosting platform willen we in
 + januari 2019 TLS1.0 en TLS1.1 uitzetten. Dit vanwege de security
 + problemen in TLS1.0, waardoor bijvoorbeeld logingegevens
 + gestolen kunnen worden. Uit metingen blijkt dat nog maar een half
 + procent van de requests via TLS1.0 of TLS1.1 is, de rest is
 + TLS1.2. )
 +}}
 +====== C2019D01: Uitfaseren TLS1.0 en TLS1.1 ======
 +
 +====== Aankondigingen ======
 +===== Aankondiging: Uitfaseren TLS1.0 en TLS1.1 in januari 2019 =====
 +Beste klant / collega,
 +
 +(Is dit bericht niet goed leesbaar? Bekijk dan [[|hier]] de online versie.) 
 +
 +de afgelopen jaren is er een grote toename geweest in het gebruik van
 +beveiligde internetverbindingen, herkenbaar aan urls die met https
 +beginnen en (meestal) een groen slotje in je browser. Het onderliggende
 +encryptie protocol staat bekend als
 +"[[https://en.wikipedia.org/wiki/Transport_Layer_Security|Transport Layer Security]]", afgekort
 +tot TLS of de voorganger daarvan, "Secure Sockets Layer", SSL.
 +
 +SSL wordt tegenwoordig niet meer gebruikt.
 +Van TLS zijn verschillende versies in omloop; twee oude versies (TLS1.0
 +en TLS1.1), de huidige versie (TLS1.2) en de jongste loot aan de stam is
 +TLS1.3.
 +Op het NPO hosting platform worden TLS1.0 t/m 1.2 ondersteund.
 +(1.3 is nog relatief nieuw, we denken  dat in begin 2019 te kunnen gaan
 +ondersteunen)
 +
 +Helaas is het zo dat in TLS1.0 een aantal ernstige security problemen
 +zijn gevonden, waardoor het voor kwaadwillenden mogelijk is om verkeer
 +dat versleuteld is met TLS1.0 te ontsleutelen, waardoor de privacy van
 +de gebruiker ernstig aangetast kan worden.
 +Het nare aan dit soort aanvallen is dat dit zogeheten "downgrade
 +attacks" kunnen zijn, waarbij je browser die prima een moderne versie
 +van TLS kan doen "gefopt" kan worden en zonder dat je het weet toch de
 +oude, kraakbare TLS1.0 kan gaan spreken.
 +
 +Neem als voorbeeld een journalist in een onvrij land die naar een
 +nieuwssite gaat om daar een kritisch artikel over dat land te lezen. De
 +journalist denkt "ik ben veilig, want ik zie een groen slotje, dus
 +het feit dat ik dit artikel lees is niet zichtbaar voor anderen;
 +mijn privacy is gewaarborgd" Helaas voor de journalist is het door
 +het gebruik van TLS1.0 voor de overheid van dat land mogelijk om al
 +het webverkeer te ontsleutelen en zo precies te volgen wie er wat
 +gelezen heeft, met potentieel nare gevolgen voor de journalist.
 +
 +Een ander voorbeeld kan een webredacteur zijn die via een beveiligde
 +verbinding denkt in te loggen op een CMS.
 +Wat de webredacteur niet weet is dat een hacker erin geslaagd is deze
 +verbinding te downgraden naar TLS1.0 en zo in staat is om de
 +login gegevens van het CMS te ontfutselen. Deze login gegevens kunnen
 +later door de hacker misbruikt worden om willekeurige artikelen in het CMS
 +naar believen aan te passen.
 +
 +Daarom denken wij dat het zeer gewenst is om TLS1.0 uit te zetten.
 +TLS1.1 heeft niet dezelfde ernstige security problemen als TLS1.0,
 +maar door [[https://www.pcisecuritystandards.org/|de betalingsindustrie]]
 +wordt 
 +[[https://www.pcisecuritystandards.org/documents/Migrating-from-SSL-Early-TLS-Info-Supp-v1_1.pdf|geadviseerd]]
 +om TLS1.1 ook uit te zetten; deze aanbeveling willen wij opvolgen.
 +Bij banken en andere financiele instellingen, maar ook een aanbieder als
 +AWS is TLS1.0 al enige tijd geleden in de ban gedaan.
 +Andere grote aanbieders
 +als Apple, Microsoft en Google zullen begin 2020 volgen. Daarnaast wordt
 +er gewerkt aan een
 +[[https://tools.ietf.org/html/draft-moriarty-tls-oldversions-diediedie-00|standaard]]
 +om TLS1.0 en TLS1.1 officieel af te schaffen.
 +Er wordt op het web dus stevig aan de poten van de oude TLS protocollen gezaagd.
 +
 +Maar, er is een keerzijde. Oude devices (denk aan oude smartphones of
 +browsers op oude computers) die gemaakt zijn voordat TLS1.2 gemeengoed
 +werd, meer dan tien jaar geleden, ondersteunen vaak alleen TLS1.0. Als
 +wij nu TLS1.0 uitzetten zijn de sites niet meer te benaderen voor deze
 +oude devices. (TLS1.1 is een soort tussenprotocol en wordt eigenlijk
 +bijna niet gebruikt)
 +
 +Dus door TLS1.0 uit te zetten maak je je site veiliger voor je
 +gebruikers, maar het nadeel is dat een klein deel van je gebruikers de
 +site niet meer kan bezoeken.
 +
 +Om erachter te komen hoe klein dat deel is loggen we tegenwoordig het
 +gebruikte TLS protocol. Het blijkt dat op bijna alle sites TLS1.2 de
 +overgrote meerderheid is met 99.5% van de requests. De resterende 0.5%
 +is grotendeels TLS1.0 en een piepklein beetje TLS1.1
 +Een overzicht van welke browsers TLS1.2 ondersteunen is te vinden op de
 +site van [[https://www.ssllabs.com/ssltest/clients.html|ssllabs]].
 +
 +Omdat in de praktijk de overgrote meerderheid van het verkeer via TLS1.2
 +gaat en omdat het in leven houden van TLS1.0 voor **iedereen** securitiy
 +risico's inhoudt gaan wij TLS1.0 (en dan ook maar meteen TLS1.1)
 +platformbreed uitzetten. Kort daarop willen we TLS1.3 beschikbaar gaan
 +maken en wordt de nieuwe standaard dus dat TLS1.2 en TLS1.3 beschikbaar
 +zijn.
 +
 +De planning hiervoor is als volgt:
 +^ Datum ^ Actie ^ Opmerking ^
 +| 7 januari 2019 | Uitzetten TLS1.0 en TLS1.1 in de testomgeving | |
 +| 14 januari 2019 | Uitzetten TLS1.0 en TLS1.1 in de productieomgeving | **Door een fout in de planning is dit pas een week later, op 21 januari gedaan** ||
 +| 21 januari 2019 | Aanzetten TLS1.3 in de testomgeving | |
 +| 28 januari 2019 | Aanzetten TLS1.3 in de productieomgeving | |
 +
 +Dat betekent dat als u niets doet, vanaf 14 januari geen TLS1.0 en
 +TLS1.1 meer ondersteund wordt en er misschien een half procent minder
 +bezoekers op uw site zijn. Indien u toch liever heeft dat deze oude
 +protocollen met hun gebreken zoals het stelen van login gegegevens en
 +het uitlekken van surfgedrag wel beschikbaar blijven dan kunnen we per
 +omgeving deze aan laten staan. Neem in dat geval contact met ons op.