Internetprotocollen TLS 1.0 en 1.1 zijn in maart dit jaar end-of-life. Populaire browsers Chrome, Safari, Edge, Internet Explorer en Firefox zullen dan de verouderde protocollen niet meer ondersteunen. Dit heeft mogelijk effect op de beschikbaarheid van websites en (verouderde) applicaties die gebruikmaken van de verouderde versies. In deze blogpost leggen we uit wat er aan de hand is en welke stappen True onderneemt om de beschikbaarheid van websites up-and-running te houden.
Bekijk ook onze managed hosting dienst
TLS 1.0 en 1.1 end of life
Wat is TLS?
TLS staat voor Transport Layer Security en wordt in het dagelijks leven gebruikt om de authenticiteit van een server te controleren. U kent het protocol misschien beter als onderdeel van een SSL-certificaat. De termen TLS en SSL worden vaak door elkaar gebruikt maar in feite is SSL de voorganger van TLS.
TLS gaat uit van twee basisprincipes: authenticatie en encryptie. Via het TLS-protocol kan een server geauthenticeerd worden met een certificaat. Het is een soort garantie dat de opgevraagde server die vanuit de browser benaderd wordt, ook daadwerkelijk de opgevraagde server is. Tevens zorgt het protocol ervoor dat verkeer van en naar een server versleuteld wordt. Aan de hand van symmetrische cryptografie wordt het verkeer afgeschermd en pas uitgewisseld als er een key exchange plaats heeft gevonden.
Lees ook: 'Verbeter de online security van uw website'
SSL-certificaten
Klinkt dit een beetje als een SSL-certificaat? Dan zit u er niet ver naast. De termen TLS en SSL worden namelijk wel eens door elkaar gebruikt. Over het algemeen is de SSL-certificaat hetgeen wat de meeste mensen kennen. De https-verbinding, het groene slotje, het webverkeer dat versleuteld wordt: die principes zijn allemaal te danken aan het TLS-protocol.
Over het versleutelen van verkeer, de verschillen tussen SSL en TLS valt overigens genoeg te vertellen. Mocht u geïnteresseerd zijn in de verschillen dan raden we de website howhttps.works aan. In een aantal comics worden de verschillen helder uitgelegd.
Video: Wat is SSL, TLS en HTTPS?
Hebt u 7 minuten over en wilt u meer weten over hoe SSL, TLS of HTTPS en alles daartussenin werkt? Dan is onderstaande video een interessante bron:
Waarom verdwijnen TLS 1.0 en TLS 1.1?
Zowel TLS 1.0 en TLS 1.1 worden naar verwachting eind februari of maart niet meer ondersteund in alle populaire browsers en clients. De oorzaak heeft niet zozeer te maken met security, maar met moderniteit. Het huidige TLS-protocol is inmiddels 19 jaar oud en dat is vrij oud op het internet.
Is de TLS beveiliging verouderd? Dat niet. Er zitten geen directe kwetsbaarheden in maar nieuw is het ook niet te noemen. Tegelijkertijd groeit ook de rekenkracht en het aantal computers dat deze rekenkracht gebruikt wereldwijd. In theorie zijn computers daardoor steeds meer in staat om complexe algoritmes zoals cryptografie te doorbreken. Om dit voor te zijn en het web een stuk veiliger te maken hebben de techgiganten besloten om TLS 1.0 niet meer te ondersteunen.
Het niet meer ondersteunen van TLS 1.1 komt met name door het lage gebruik ervan. Naar schatting (bron) gebruiken slechts 0.1% van alle connecties het TLS 1.1 protocol. Een aantal features van TLS 1.0 worden in TLS 1.1 protocol verbeterd, maar nieuwe standaarden TLS 1.2 en 1.3 worden gezien als betere alternatieven voor de toekomst. Zo is TLS 1.2 bijvoorbeeld een vereiste bij HTTP/2, een nieuwe versie van het bestaande HTTP-protocol waarmee webpagina’s sneller geladen worden. Overigens is het een veilige aanname dat veel verkeer al via TLS 1.2 gaat.
TLS 1.0 en 1.1 end-of-life: wat betekent het?
Heel plat gezegd zijn websites of applicaties die enkel TLS 1.0 of TLS 1.1 gebruiken straks niet meer beschikbaar, al zal dit per browser verschillen.
Websites die naast TLS 1.0 en 1.1 óók 1.2 en 1.3 gebruiken zullen bereikbaar zijn zonder problemen. Het probleem vindt vooral plaats bij de bereikbaarheid van servers die enkel TLS 1.0 en 1.1 ondersteunen. Die servers zullen geconfigureerd moeten worden voor ondersteuning naar 1.2 of 1.3.
Gebeurt dat niet? Dan zullen populaire browsers problemen hebben om de websites te bereiken. Webbezoekers die via Chrome-versie 79 naar een website surfen krijgen met enkel ondersteuning voor TLS 1.0 of 1.1. krijgen een rood scherm en een foutmelding te zien.
Vanaf versie Chrome 81 gaat Google zelfs voorkomen dat websites met TLS1.0 en TLS1.1 verbonden kunnen worden. Bezoekers krijgen dan de melding: “Your connection is not fully secure. This site uses an outdated security configuration, which may expose your information.”
Alle grote browsers doen mee
Firefox, Internet Explorer en Edge zullen het voorbeeld volgen van Chrome en met soortgelijke foutmeldingen komen. Kortom: niet tijdig acteren kan grote gevolgen hebben voor de bereikbaarheid van websites.
TLS 1.0 en 1.1 einde support
- Firefox – maart 2020 (bron)
- Safari – maart 2020 (bron)
- Chrome/Chromium – 13 -20 februari (beta Chrome 81) (bron)
- Internet Explorer/Edge – maart 2020 (bron)
TLS versie controleren
Er zijn meerdere manieren om te checken of u gebruikmaakt van een TLS versie 1.0 of 1.1 die bijna end of life is. Via internet.nl is bijvoorbeeld te zien of uw website gebruikmaakt van moderne internetstandaarden.
Een andere (en betere optie volgens ons) is SSL Labs. Deze site controleert uw website vrij uitgebreid op met name het gebruik van SSL en TLS. SSL Labs gaat uit van een andere standaard, namelijk de standaard die ook wordt gehanteerd door Mozilla (de organisatie achter browser Firefox).
Bent u van plan bent om uw website te controleren, dan adviseert True SSL Labs. Deze site is naar onze mening een stuk vollediger en helemaal toegespitst op de controle van SSL / TLS toepassingen. Zelf gebruikt True SSL Labs ook bij handmatige controles van het TLS-protocol.
Wat betekent dit voor websites van klanten van True?
Kort gezegd: niets, tenzij wij contact met u opnemen of u zelf een verzoek heeft. We gaan het ‘probleem’ namelijk binnenkort fixen.
De websites die bij True zijn gehost blijven gewoon bereikbaar. Maakt uw website gebruikmaakt van TLS 1.2 of hoger? Dan hoeft u niets te doen. Gebruiken uw website of clients TLS 1.0 of 1.1? Ook dan hoeft u niets te doen.
U hoeft zelf geen wijzigingen door te voeren. Het gaat hier namelijk om configuratiewijzigingen op een server en niet in bijvoorbeeld wijzigingen in een SSL-certificaat.
True neemt de volledige verantwoordelijkheid voor serverconfiguraties. De engineers van True gaan als extra controleslag de omgevingen nalopen waar de oude protocollen actief zijn. Indien bij de controleslag blijkt dat uw omgeving nog gebruikmaakt van de oude protocollen of het vermoeden is dat verandering problemen kan veroorzaken, zullen we contact met u opnemen om de vervolgstappen af te stemmen.
Nieuw opgeleverde omgevingen van de afgelopen jaren bevatten doorgaans al het nieuwere TLS 1.2 protocol of hoger. Dit zal ook onze nieuwe standaard worden.
Indien u gebruik wilt blijven maken van de verouderde protocollen dan vernemen we dat graag. U kunt dan terecht via ons ticketsysteem TrueCare. Bekijk ook onze security-diensten voor het verbeteren van uw online security.