Differences
This shows you the differences between two versions of the page.
— | aankondigingen:2019:c2019d02-uitfaseren-tls-1-0 [2024/03/07 17:08] (current) – created - external edit 127.0.0.1 | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ~~META: | ||
+ | title = C2019D02: Uitfaseren TLS1.0 en TLS1.1 | ||
+ | ~~ | ||
+ | {{htmlmetatags> | ||
+ | metatag-keywords=(TLS TLS1.0 TLS1.1 TLS1.2 TLS1.3 SSL) | ||
+ | metatag-og: | ||
+ | metatag-og: | ||
+ | januari 2019 TLS1.0 en TLS1.1 uitzetten. Dit vanwege de security | ||
+ | problemen in TLS1.0, waardoor bijvoorbeeld logingegevens | ||
+ | gestolen kunnen worden. Uit metingen blijkt dat nog maar een half | ||
+ | procent van de requests via TLS1.0 of TLS1.1 is, de rest is | ||
+ | TLS1.2. ) | ||
+ | }} | ||
+ | ====== C2019D01: Uitfaseren TLS1.0 en TLS1.1 ====== | ||
+ | |||
+ | ====== Aankondigingen ====== | ||
+ | ===== Aankondiging: | ||
+ | Beste klant / collega, | ||
+ | |||
+ | (Is dit bericht niet goed leesbaar? Bekijk dan [[|hier]] de online versie.) | ||
+ | |||
+ | de afgelopen jaren is er een grote toename geweest in het gebruik van | ||
+ | beveiligde internetverbindingen, | ||
+ | beginnen en (meestal) een groen slotje in je browser. Het onderliggende | ||
+ | encryptie protocol staat bekend als | ||
+ | " | ||
+ | tot TLS of de voorganger daarvan, " | ||
+ | |||
+ | SSL wordt tegenwoordig niet meer gebruikt. | ||
+ | Van TLS zijn verschillende versies in omloop; twee oude versies (TLS1.0 | ||
+ | en TLS1.1), de huidige versie (TLS1.2) en de jongste loot aan de stam is | ||
+ | TLS1.3. | ||
+ | Op het NPO hosting platform worden TLS1.0 t/m 1.2 ondersteund. | ||
+ | (1.3 is nog relatief nieuw, we denken | ||
+ | ondersteunen) | ||
+ | |||
+ | Helaas is het zo dat in TLS1.0 een aantal ernstige security problemen | ||
+ | zijn gevonden, waardoor het voor kwaadwillenden mogelijk is om verkeer | ||
+ | dat versleuteld is met TLS1.0 te ontsleutelen, | ||
+ | de gebruiker ernstig aangetast kan worden. | ||
+ | Het nare aan dit soort aanvallen is dat dit zogeheten " | ||
+ | attacks" | ||
+ | van TLS kan doen " | ||
+ | oude, kraakbare TLS1.0 kan gaan spreken. | ||
+ | |||
+ | Neem als voorbeeld een journalist in een onvrij land die naar een | ||
+ | nieuwssite gaat om daar een kritisch artikel over dat land te lezen. De | ||
+ | journalist denkt "ik ben veilig, want ik zie een groen slotje, dus | ||
+ | het feit dat ik dit artikel lees is niet zichtbaar voor anderen; | ||
+ | mijn privacy is gewaarborgd" | ||
+ | het gebruik van TLS1.0 voor de overheid van dat land mogelijk om al | ||
+ | het webverkeer te ontsleutelen en zo precies te volgen wie er wat | ||
+ | gelezen heeft, met potentieel nare gevolgen voor de journalist. | ||
+ | |||
+ | Een ander voorbeeld kan een webredacteur zijn die via een beveiligde | ||
+ | verbinding denkt in te loggen op een CMS. | ||
+ | Wat de webredacteur niet weet is dat een hacker erin geslaagd is deze | ||
+ | verbinding te downgraden naar TLS1.0 en zo in staat is om de | ||
+ | login gegevens van het CMS te ontfutselen. Deze login gegevens kunnen | ||
+ | later door de hacker misbruikt worden om willekeurige artikelen in het CMS | ||
+ | naar believen aan te passen. | ||
+ | |||
+ | Daarom denken wij dat het zeer gewenst is om TLS1.0 uit te zetten. | ||
+ | TLS1.1 heeft niet dezelfde ernstige security problemen als TLS1.0, | ||
+ | maar door [[https:// | ||
+ | wordt | ||
+ | [[https:// | ||
+ | om TLS1.1 ook uit te zetten; deze aanbeveling willen wij opvolgen. | ||
+ | Bij banken en andere financiele instellingen, | ||
+ | AWS is TLS1.0 al enige tijd geleden in de ban gedaan. | ||
+ | Andere grote aanbieders | ||
+ | als Apple, Microsoft en Google zullen begin 2020 volgen. Daarnaast wordt | ||
+ | er gewerkt aan een | ||
+ | [[https:// | ||
+ | om TLS1.0 en TLS1.1 officieel af te schaffen. | ||
+ | Er wordt op het web dus stevig aan de poten van de oude TLS protocollen gezaagd. | ||
+ | |||
+ | Maar, er is een keerzijde. Oude devices (denk aan oude smartphones of | ||
+ | browsers op oude computers) die gemaakt zijn voordat TLS1.2 gemeengoed | ||
+ | werd, meer dan tien jaar geleden, ondersteunen vaak alleen TLS1.0. Als | ||
+ | wij nu TLS1.0 uitzetten zijn de sites niet meer te benaderen voor deze | ||
+ | oude devices. (TLS1.1 is een soort tussenprotocol en wordt eigenlijk | ||
+ | bijna niet gebruikt) | ||
+ | |||
+ | Dus door TLS1.0 uit te zetten maak je je site veiliger voor je | ||
+ | gebruikers, maar het nadeel is dat een klein deel van je gebruikers de | ||
+ | site niet meer kan bezoeken. | ||
+ | |||
+ | Om erachter te komen hoe klein dat deel is loggen we tegenwoordig het | ||
+ | gebruikte TLS protocol. Het blijkt dat op bijna alle sites TLS1.2 de | ||
+ | overgrote meerderheid is met 99.5% van de requests. De resterende 0.5% | ||
+ | is grotendeels TLS1.0 en een piepklein beetje TLS1.1 | ||
+ | Een overzicht van welke browsers TLS1.2 ondersteunen is te vinden op de | ||
+ | site van [[https:// | ||
+ | |||
+ | Omdat in de praktijk de overgrote meerderheid van het verkeer via TLS1.2 | ||
+ | gaat en omdat het in leven houden van TLS1.0 voor **iedereen** securitiy | ||
+ | risico' | ||
+ | platformbreed uitzetten. Kort daarop willen we TLS1.3 beschikbaar gaan | ||
+ | maken en wordt de nieuwe standaard dus dat TLS1.2 en TLS1.3 beschikbaar | ||
+ | zijn. | ||
+ | |||
+ | De planning hiervoor is als volgt: | ||
+ | ^ Datum ^ Actie ^ Opmerking ^ | ||
+ | | 7 januari 2019 | Uitzetten TLS1.0 en TLS1.1 in de testomgeving | | | ||
+ | | 14 januari 2019 | Uitzetten TLS1.0 en TLS1.1 in de productieomgeving | **Door een fout in de planning is dit pas een week later, op 21 januari gedaan** || | ||
+ | | 21 januari 2019 | Aanzetten TLS1.3 in de testomgeving | | | ||
+ | | 28 januari 2019 | Aanzetten TLS1.3 in de productieomgeving | | | ||
+ | |||
+ | Dat betekent dat als u niets doet, vanaf 14 januari geen TLS1.0 en | ||
+ | TLS1.1 meer ondersteund wordt en er misschien een half procent minder | ||
+ | bezoekers op uw site zijn. Indien u toch liever heeft dat deze oude | ||
+ | protocollen met hun gebreken zoals het stelen van login gegegevens en | ||
+ | het uitlekken van surfgedrag wel beschikbaar blijven dan kunnen we per | ||
+ | omgeving deze aan laten staan. Neem in dat geval contact met ons op. | ||