Walter Avatar

Een duivels dilemma tussen veiligheid en duurzaamheid

Een slotje. De meeste websites beschikken er inmiddels wel over. Het slotje (SSL/TLS) op websites versleutelt al het verkeer tussen die website en je browser, dat is bekend. Maar wist je dat het ene slotje het andere niet is? Er zijn heel wat manieren om data te versleutelen. Zoals je deursloten in alle kwaliteiten hebt, is ook de kwaliteit van een HTTPS-verbinding afhankelijk van de gebruikte techniek en protocollen.

De kwaliteit van de versleuteling kan dan ook worden beoordeeld met een waardering. Van A+ tot en met F. Om een A+ te scoren moet alles kloppen en krijg je dus niet zomaar. Goed nieuws: al onze certificaten zijn A+ en dat willen we graag zo houden. Benieuwd naar je score? Via de tool van SSL Labs kun jij je score bekijken.

Ojee..

De eisen om een A+ te scoren zijn per 1 februari 2020 aangescherpt. De nieuwste versleuteling standaard is TLS 1.3, terwijl veel browsers nog gebruik maken van TLS 1.2. Voor de duidelijkheid: TLS (Transport Layer Security) is de opvolger van SSL (Secure Sockets Layer) en zijn beide encryptie-protocollen die het verkeer tussen een website en de browser versleutelt. Het gaat hier dus om de oudere versies TLS 1.1 en TLS 1.0. Die laatste twee TLS-versies worden nu verboden. Tenminste als je een A+ wil scoren met jouw site.

Praktisch voorbeeld: het protocol TLS 1.0 wordt niet meer veilig gevonden, maar Android 4.3 kent niet beter. Oudere Android-tablets die hierop draaien, kunnen daardoor straks niet meer alle websites bezoeken, vanwege deze veiligheidseisen.

Dilemmaatje dus..

Tablets zijn gif bommetjes die we liever niet op een afvalberg zien belanden. Ze moeten zo lang mogelijk meegaan. Anderzijds willen we wel graag de hoogste mate van veiligheid leveren. Waar gaat je voorkeur naar uit?

Is het echt nodig om oude TLS-versies uit te schakelen? Dat is maar de vraag. Browsers en servers bevatten een mechanisme (TLS_FALLBACK_SCSV) dat garandeert dat capabele browsers altijd een nieuwe TLS-versie gebruiken. Voor moderne devices kan het dus geen kwaad als de server ook oude TLS-versies ondersteunt.

Wel is het zo dat oudere devices de laatste inzichten op beveiligingsgebied missen. Er zijn bekende kwetsbaarheden in oude TLS-versies, waar weer fixes voor gemaakt zijn. Sowieso krijgen oude tablets geen updates meer. Op een oude tablet bank- of zorgzaken regelen is dus minder verstandig. Maar al deze devices buitensluiten is een grote stap.

Dilemma: leveren we onze A+ certificaten in voor B-certificaten? Of helpen we de afvalberg nog een beetje hoger te worden? Wij weten het niet zeker. Wat vindt jij ervan? Zeker als je bij ons een website of server host, horen we het graag Icoontje van envelopMail ons.

Update

juni 2020: Inmiddels hebben wij op al onze servers SSL bijgewerkt naar de nieuwste versie, zodat alle certificaten minimaal een A-rating hebben. We hebben hiertoe besloten na een testsreeks waaruit is gebleken dat een verwaarloosbaar deel van de gebruikers problemen ondervond. De impact was dus laag genoeg om met vertrouwen te gaan voor maximale veiligheid.

Is SSL genoeg?

Een goed SSL-certificaat is niet meer dan een fundament onder jouw veiligheid. Denk maar zo: op Whatsapp wordt alles versleuteld, of het oma's nieuwjaarswensen zijn of een terreurgroep die zijn volgende daad voorbereidt. Met SSL beveilig je alleen het transport van de data, terwijl de data zelf nog heel wat ellende kan bevatten.

Het is ook mogelijk om je SSL meer geloofwaardigheid te geven met wat papierwerk en een kleine investering. Een EV-certificaat (Extended Validation) is gegarandeerd afkomstig van een rechtspersoon. Handig, als je wilt dat een certificaat op rabobank.nl ook echt van de Rabobank is, bijvoorbeeld. In technische zin is zo'n certificaat niet anders dan het hierboven beschreven certificaat.

Meer lezen?

  1. Server Rating Guide
  2. The Illustrated TLS Connection
Walter Avatar

Walter is als technisch directeur bij Slik verantwoordelijk voor het borgen van de kwaliteit en de veiligheid van al onze code en de stabiliteit van ons hostingplatform. Hij is onze security officer en treedt regelmatig op als spreker bij conferenties en workshops op het gebied van online security.