Nu steeds meer internetverkeer via versleutelde tls-verbindingen plaatsvindt maakt dit het lastiger voor organisaties om het verkeer op hun netwerk te inspecteren. Een mogelijke oplossing is het toepassen van tls-interceptie, maar dit vergt vanwege bijkomende risico’s een gedegen afweging en dient aan een aantal belangrijke randvoorwaarden te voldoen, zo meldt het Nationaal Cyber Security Center (NCSC) in een nieuwe factsheet.
Via tls-interceptie is het mogelijk om de inhoud van versleuteld verkeer te inspecteren. "Organisaties passen tls-interceptie meestal toe om binnen versleutelde verbindingen kwaadaardige elementen, zoals virussen en malware, en het weglekken van gegevens te detecteren en te blokkeren", aldus het NCSC. Om het versleutelde verkeer te kunnen onderscheppen zijn er verschillende opties, zoals het installeren van een proxy die als een 'man-in-the-middle' fungeert. Door vervolgens op de werkcomputers een eigen rootcertificaat te installeren kunnen de tls-verbindingen worden onderschept zonder dat dit voor een waarschuwing in de e-mailclient of browser zorgt.
Het gebruik van een tls-proxy kan verschillende risico's met zich meebrengen. Zo kunnen applicaties niet langer een verbinding met hun server maken, omdat zij alleen het specifieke certificaat van die server vertrouwen en niet een alternatief certificaat van de tls-proxy. Tevens zorgt tls-interceptie ervoor dat clients niet langer kunnen zien dat een bepaalde website een Extended Validation-certificaat gebruikt.
Daarnaast is er nog het risico dat de tls-proxy wordt gehackt. Volgens het NCSC zijn dergelijke oplossingen een aantrekkelijk doelwit voor aanvallers. Een aanvaller die toegang tot de tls-proxy weet te krijgen heeft zo ook toegang tot al het verkeer dat de proxy verwerkt. Dit verkeer kan de aanvaller inspecteren en manipuleren. Organisaties die een tls-proxy willen inzetten moeten dan ook met verschillende zaken rekening houden, zoals privacyrisico's en technische vereisten.
In de factsheet (pdf) geeft het NCSC een aantal technische basisvereisten en best practices waar de tls-proxy wat betreft het opzetten van veilige verbindingen aan kan worden getoetst. Afsluitend laat de overheidsorganisatie weten dat tls-interceptie niet afzonderlijk dient te worden ingevoerd, maar als integraal en afgewogen onderdeel van een bredere set van maatregelen voor het implementeren van het informatiebeveiligingsbeleid.
Deze posting is gelocked. Reageren is niet meer mogelijk.