TLS 1.0 en 1.1 end-of-life in maart 2020

TLS 1.0 en 1.1 bijna end of life: wat betekent dit voor uw webapplicaties?

Internetprotocollen TLS 1.0 en 1.1 zijn in maart dit jaar end-of-life. Populaire browsers Chrome, Safari, Edge, Internet Explorer en Firefox zullen dan de verouderde protocollen niet meer ondersteunen. Dit heeft mogelijk effect op de beschikbaarheid van websites en (verouderde) applicaties die gebruikmaken van de verouderde versies. In deze blogpost leggen we uit wat er aan de hand is en welke stappen True onderneemt om de beschikbaarheid van websites up-and-running te houden.

Bekijk ook onze managed hosting dienst

TLS 1.0 en 1.1 end of life

Wat is TLS?

TLS staat voor Transport Layer Security en wordt in het dagelijks leven gebruikt om de authenticiteit van een server te controleren. U kent het protocol misschien beter als onderdeel van een SSL-certificaat. De termen TLS en SSL worden vaak door elkaar gebruikt maar in feite is SSL de voorganger van TLS.

TLS gaat uit van twee basisprincipes: authenticatie en encryptie. Via het TLS-protocol kan een server geauthenticeerd worden met een certificaat. Het is een soort garantie dat de opgevraagde server die vanuit de browser benaderd wordt, ook daadwerkelijk de opgevraagde server is. Tevens zorgt het protocol ervoor dat verkeer van en naar een server versleuteld wordt. Aan de hand van symmetrische cryptografie wordt het verkeer afgeschermd en pas uitgewisseld als er een key exchange plaats heeft gevonden.

 

Lees ook: 'Verbeter de online security van uw website'

 

SSL-certificaten

Klinkt dit een beetje als een SSL-certificaat? Dan zit u er niet ver naast. De termen TLS en SSL worden namelijk wel eens door elkaar gebruikt. Over het algemeen is de SSL-certificaat hetgeen wat de meeste mensen kennen. De https-verbinding, het groene slotje, het webverkeer dat versleuteld wordt: die principes zijn allemaal te danken aan het TLS-protocol.

Over het versleutelen van verkeer, de verschillen tussen SSL en TLS valt overigens genoeg te vertellen. Mocht u geïnteresseerd zijn in de verschillen dan raden we de website howhttps.works aan. In een aantal comics worden de verschillen helder uitgelegd.

 

Video: Wat is SSL, TLS en HTTPS?

Hebt u 7 minuten over en wilt u meer weten over hoe SSL, TLS of HTTPS en alles daartussenin werkt? Dan is onderstaande video een interessante bron:

https://www.youtube.com/watch?v=4nGrOpo0Cuc

 

Waarom verdwijnen TLS 1.0 en TLS 1.1?

Zowel TLS 1.0 en TLS 1.1 worden naar verwachting eind februari of maart niet meer ondersteund in alle populaire browsers en clients. De oorzaak heeft niet zozeer te maken met security, maar met moderniteit. Het huidige TLS-protocol is inmiddels 19 jaar oud en dat is vrij oud op het internet.

Is de TLS beveiliging verouderd? Dat niet. Er zitten geen directe kwetsbaarheden in maar nieuw is het ook niet te noemen. Tegelijkertijd groeit ook de rekenkracht en het aantal computers dat deze rekenkracht gebruikt wereldwijd. In theorie zijn computers daardoor steeds meer in staat om complexe algoritmes zoals cryptografie te doorbreken. Om dit voor te zijn en het web een stuk veiliger te maken hebben de techgiganten besloten om TLS 1.0 niet meer te ondersteunen.

Het niet meer ondersteunen van TLS 1.1 komt met name door het lage gebruik ervan. Naar schatting (bron) gebruiken slechts 0.1% van alle connecties het TLS 1.1 protocol. Een aantal features van TLS 1.0 worden in TLS 1.1 protocol verbeterd, maar nieuwe standaarden TLS 1.2 en 1.3 worden gezien als betere alternatieven voor de toekomst. Zo is TLS 1.2 bijvoorbeeld een vereiste bij HTTP/2, een nieuwe versie van het bestaande HTTP-protocol waarmee webpagina’s sneller geladen worden. Overigens is het een veilige aanname dat veel verkeer al via TLS 1.2 gaat.

 

TLS 1.0 en 1.1 end-of-life: wat betekent het?

Heel plat gezegd zijn websites of applicaties die enkel TLS 1.0 of TLS 1.1 gebruiken straks niet meer beschikbaar, al zal dit per browser verschillen.

Websites die naast TLS 1.0 en 1.1 óók 1.2 en 1.3 gebruiken zullen bereikbaar zijn zonder problemen. Het probleem vindt vooral plaats bij de bereikbaarheid van servers die enkel TLS 1.0 en 1.1 ondersteunen. Die servers zullen geconfigureerd moeten worden voor ondersteuning naar 1.2 of 1.3.

Gebeurt dat niet? Dan zullen populaire browsers problemen hebben om de websites te bereiken. Webbezoekers die via Chrome-versie 79 naar een website surfen krijgen met enkel ondersteuning voor TLS 1.0 of 1.1. krijgen een rood scherm en een foutmelding te zien.

Vanaf versie Chrome 81 gaat Google zelfs voorkomen dat websites met TLS1.0 en TLS1.1 verbonden kunnen worden. Bezoekers krijgen dan de melding: “Your connection is not fully secure. This site uses an outdated security configuration, which may expose your information.”

 

Alle grote browsers doen mee

Firefox, Internet Explorer en Edge zullen het voorbeeld volgen van Chrome en met soortgelijke foutmeldingen komen. Kortom: niet tijdig acteren kan grote gevolgen hebben voor de bereikbaarheid van websites.

TLS 1.0 en 1.1 einde support

  • Firefox – maart 2020 (bron)
  • Safari – maart 2020 (bron)
  • Chrome/Chromium – 13 -20 februari (beta Chrome 81) (bron)
  • Internet Explorer/Edge – maart 2020 (bron)

 

TLS versie controleren

Er zijn meerdere manieren om te checken of u gebruikmaakt van een TLS versie 1.0 of 1.1 die bijna end of life is. Via internet.nl is bijvoorbeeld te zien of uw website gebruikmaakt van moderne internetstandaarden.

Een andere (en betere optie volgens ons) is SSL Labs. Deze site controleert uw website vrij uitgebreid op met name het gebruik van SSL en TLS. SSL Labs gaat uit van een andere standaard, namelijk de standaard die ook wordt gehanteerd door Mozilla (de organisatie achter browser Firefox).

Bent u van plan bent om uw website te controleren, dan adviseert True SSL Labs. Deze site is naar onze mening een stuk vollediger en helemaal toegespitst op de controle van SSL / TLS toepassingen. Zelf gebruikt True SSL Labs ook bij handmatige controles van het TLS-protocol.

 

Wat betekent dit voor websites van klanten van True?

Kort gezegd: niets, tenzij wij contact met u opnemen of u zelf een verzoek heeft. We gaan het ‘probleem’ namelijk binnenkort fixen.

De websites die bij True zijn gehost blijven gewoon bereikbaar. Maakt uw website gebruikmaakt van TLS 1.2 of hoger? Dan hoeft u niets te doen. Gebruiken uw website of clients TLS 1.0 of 1.1? Ook dan hoeft u niets te doen.

U hoeft zelf geen wijzigingen door te voeren. Het gaat hier namelijk om configuratiewijzigingen op een server en niet in bijvoorbeeld wijzigingen in een SSL-certificaat.

True neemt de volledige verantwoordelijkheid voor serverconfiguraties. De engineers van True gaan als extra controleslag de omgevingen nalopen waar de oude protocollen actief zijn. Indien bij de controleslag blijkt dat uw omgeving nog gebruikmaakt van de oude protocollen of het vermoeden is dat verandering problemen kan veroorzaken, zullen we contact met u opnemen om de vervolgstappen af te stemmen.

Nieuw opgeleverde omgevingen van de afgelopen jaren bevatten doorgaans al het nieuwere TLS 1.2 protocol of hoger. Dit zal ook onze nieuwe standaard worden.

Indien u gebruik wilt blijven maken van de verouderde protocollen dan vernemen we dat graag. U kunt dan terecht via ons ticketsysteem TrueCare. Bekijk ook onze security-diensten voor het verbeteren van uw online security.

TLS 1.0 en 1.1 end-of-life in maart 2020
Kilian Drewel
Techblogger

Security - 29.01.2020

Er is recentelijk een nieuwe kwetsbaarheid gevonden in de speculative execution functie van de Intel-processoren. De aanval is dit keer gericht op het lekken van data via Cache Evictions, waarmee een aanvaller in potentie zelf kan selecteren welke data er gelekt mogen worden. Dit in tegenstelling tot eerdere kwetsbaarheden MDS/RIDL, waar de aanvaller eerst moest […]

Cloud - 20.12.2019

Hoge prestaties, cloud-native technologie en DevOps kenmerken het cloudlandschap het komende jaar Dit artikel werd eerder gepubliceerd in de papieren versie van CloudWorks. Veel trends die in 2019 kenmerkend waren voor de cloud, zetten ook in 2020 door. Zo blijven gebruikers van webshops, websites en bedrijfsapplicaties steeds hogere eisen stellen aan de prestaties van applicaties, […]

Security - 11.12.2019

Gister werd een nieuw lek bekend gemaakt die gebruikmaakt van het fysieke component van Intel-processoren. Het lek draagt de naam Plundervolt. In deze blogpost geven we wat duiding, lees je onze reactie als hostingprovider hierop en vertellen we wat de impact is voor onze klanten.   Fysieke manipulatie Computers van vandaag de dag zijn beschermd […]

Blijf op de hoogte en schrijf u in voor onze nieuwsbrief
Schrijf u in voor de nieuwsbrief

Vraag offerte aan

Vul onderstaand formulier in. True neemt zo snel mogelijk contact met u op.