Overslaan en naar hoofdcontent gaan

BIV faseert TLS 1.1 uit!

Support medewerker
  • Bijgewerkt

Het minimale niveau van beveiliging van de verbinding met de BIV (op basis van TLS) wordt opgewaardeerd naar TLS 1.2 en hoger.
Per 1 april 2024 zal de BIV uitsluitend het beveiligingsprotocol TLS 1.2 en hoger accepteren omdat deze versie sneller en veiliger is. Een TLS 1.1 zal worden afgekeurd. Om een correcte verbinding met de BIV te behouden, is het noodzakelijk dat je je software controleert en indien nodig updatet. Ook is het mogelijk om per 1 februari 2024 op te waarden naar de meest recente TLS 1.3 versie. Hieronder volgt een nadere toelichting en de planning. 

Let op: Controleer dat de juiste TLS-versie wordt gebruikt. Dit kan nu al worden ingesteld! 
Heb je een verbinding met MijnDataMijnBusiness.nl (MDMB)? Dan heeft deze wijziging geen impact.

 

Bij het TLS-protocol hoort het gebruik van specifieke cipher-suites. Naast het TLS 1.1 protocol, worden enkele cipher-suites die behoren tot het TLS 1.2 protocol uitgefaseerd, omdat deze niet veilig genoeg zijn. Je dient meerdere van onderstaande (door de BIV ondersteunde) cipher-suites te accepteren (minimaal 2). 
Wij volgen hiermee de richtlijnen van het NCSC.

Planning uitfasering TLS 1.1 en TLS 1.2 onveilige cipher-suites:

 

Omgeving Endpoint Datum uitfaseren
Test Btt-frcportaal.nl 28-02-2024
Acceptatie Btba-frcportaal.nl 14-03-2024
Productie Btp-frcportaal.nl 01-04-2024

 

Aanpak uitfasering
Op bovengenoemde data worden de wijzigingen op de BIV doorgevoerd en zijn deze dezelfde dag na 18.00 uur actief. Je kunt nu al de verbinding upgraden naar TLS 1.2.

 

Uitfasering geplande cipher-suites

 

De volgende TLS verbindingen zijn onveilig en worden per 1 april 2024 niet toegestaan

BIV TLS 1.1
Protocol (en alle onderliggende cipher-suites)
BIV TLS 1.2 cipher-suites
TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384 (0xc061)   ECDH x25519 (eq. 3072 bits RSA)   FS
TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384 (0xc053)   DH 2048 bits   FS
TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256 (0xc060)   ECDH x25519 (eq. 3072 bits RSA)   FS
TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256 (0xc052)   DH 2048 bits   FS
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d)  
TLS_RSA_WITH_AES_256_CCM_8 (0xc0a1)  
TLS_RSA_WITH_AES_256_CCM (0xc09d)  
TLS_RSA_WITH_ARIA_256_GCM_SHA384 (0xc051)  
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c)  
TLS_RSA_WITH_AES_128_CCM_8 (0xc0a0)  
TLS_RSA_WITH_AES_128_CCM (0xc09c)  
TLS_RSA_WITH_ARIA_128_GCM_SHA256 (0xc050)  
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d)  
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 (0xc0)  
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)  
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 (0xba)  
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)  
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84)  
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)  
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41)  

 

Ongewijzigde TLS cipher-suites:

De volgende TLS verbindingen zijn veilig en zijn ook na 1 april 2024 toegestaan

 

BIV TLS 1.2 cipher-suites
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH x25519 (eq. 3072 bits RSA)   FS
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f)   DH 2048 bits   FS
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8)   ECDH x25519 (eq. 3072 bits RSA)   FS
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa)   DH 2048 bits   FS
TLS_DHE_RSA_WITH_AES_256_CCM_8 (0xc0a3)   DH 2048 bits   FS
TLS_DHE_RSA_WITH_AES_256_CCM (0xc09f)   DH 2048 bits   FS
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH x25519 (eq. 3072 bits RSA)   FS
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e)   DH 2048 bits   FS
TLS_DHE_RSA_WITH_AES_128_CCM_8 (0xc0a2)   DH 2048 bits   FS
TLS_DHE_RSA_WITH_AES_128_CCM (0xc09e)   DH 2048 bits   FS
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH x25519 (eq. 3072 bits RSA)   FS  
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b)   DH 2048 bits   FS  
TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384 (0xc077)   ECDH x25519 (eq. 3072 bits RSA)   FS  
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA256 (0xc4)   DH 2048 bits   FS  
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH x25519 (eq. 3072 bits RSA)   FS  
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67)   DH 2048 bits   FS  
TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (0xc076)   ECDH x25519 (eq. 3072 bits RSA)   FS  
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA256 (0xbe)   DH 2048 bits   FS  
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH x25519 (eq. 3072 bits RSA)   FS  
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)   DH 2048 bits   FS  
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88)   DH 2048 bits   FS  
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH x25519 (eq. 3072 bits RSA)   FS  
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33)   DH 2048 bits   FS  
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45)   DH 2048 bits   FS  

 

 

Upgrade naar TLS 1.3

Het meest veilige en actuele beveiligingsprotocol is TLS 1.3. De BIV zal in de nabije toekomst TLS 1.2 uitfaseren. De communicatie zal tijdig plaatsvinden en wederom wordt een gefaseerde aanpak gehanteerd. 

                                                                                          
Let op: U kunt er ook voor kiezen om nu direct op te waarden naar een TLS 1.3 verbinding! 

BIV TLS 1.3 cipher-suites

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

 

Graag jullie medewerking en het verzoek om deze informatie intern te delen.

Bij vragen kan contact worden opgenomen met support@sbrnexus.nl   

Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0