Zowel de Nederlandse als Duitse overheid hebben vandaag vernieuwde richtlijnen gepubliceerd voor gebruik van het TLS-protocol. Het protocol wordt gebruikt voor het beveiligen van internetverbindingen. Het gaat dan bijvoorbeeld om webverkeer, e-mailverkeer en bepaalde soorten virtual private networks.
Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie meldt dat de richtlijnen sinds de eerste versie uit 2014 zijn bijgewerkt, om rekening te houden met ontwikkeling van de TLS-standaard. De meeste configuraties die voldeden aan de richtlijnen van 2014 zijn nog steeds veilig, aldus het NCSC. "De ontwikkeling van aanvalstechnieken stond echter niet stil. Van verschillende instellingen is bekend dat ze fragiel zijn met oog op toekomstige doorontwikkeling."
De nieuwe richtlijnen bieden configuraties op basis van TLS 1.3, dat de nieuwste versie van het TLS-protocol is. Daarnaast wordt aangeraden om bepaalde configuraties uit te faseren, zoals TLS 1.0, TLS 1.1 en 3DES en algoritmes voor statische sleuteluitwisselingen. "De beschikbaarheid van TLS 1.3 en publicatie van de vernieuwde richtlijnen zijn een goed moment om configuraties uit te faseren die in de toekomst onvoldoende veilig worden. Door nu na te denken over een toekomstvaste configuratie, kunnen organisaties zich richten op dreigingen die dagelijkse aandacht verdienen", laat het NCSC verder weten.
Tegelijkertijd zijn er ook vernieuwde TLS-richtlijnen verschenen van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Ook in deze vernieuwde versie is rekening gehouden met het verschijnen van TLS 1.3, alsmede de beslissing van browsers om onveilige, verouderde TLS-versies niet meer te ondersteunen.
Deze posting is gelocked. Reageren is niet meer mogelijk.