TLS 1.3 en andere server aanpassingen

Note: Voor deze blog is enige technische kennis vereist

Voor het opzetten van een beveiligde verbinding tussen bezoeker en jouw website maken wij gebruik van het TLS protocol (voorheen SSL). Op onze HPW servers hebben we altijd een veilige allround configuratie aangehouden met betrekking tot de TLS server configuratie. Met deze configuratie krijg je zonder problemen een A-rating en worden zo veel mogelijk type apparaten/browsers ondersteund.

Onze configuratie heeft op dit moment ondersteuning voor TLS 1.0, 1.1 en 1.2. De TLS 1.0 versie begint nu wat kleine scheurtjes te vertonen (maar nog steeds veilig!) en inmiddels wordt er geadviseerd om een planning te maken om de oude versie weg te migreren. Hier hebben we nu al op geanticipeerd en hebben we gelijk TLS 1.3 (sneak-preview!) toegevoegd!

TLS profielen

Omdat we een grote groep klanten hebben met uiteenlopende eisen hebben we gekeken om de wijzigingen voor iedereen werkzaam te houden. Daarom hebben we de verschillende configuraties in 4 profielen ingedeeld. waar je als klant zelf uit kunt kiezen:

Minimal
OpmerkingCompatible met verourderde apparatuur (bijv. kassa software)
PCI-DSSNee
A-ratingJa (in de nabije toekomst gaat dit veranderen)
TLS versie1.0, 1.1, 1.2
VanafFirefox 1, Chrome 1, IE 7, Opera 5, Safari 1, IE8, Android 2.3, Java 7

 

Medium
OpmerkingGoede veilige allround configuratie
PCI-DSSJa
A-ratingJa (in de nabije toekomst gaat dit veranderen)
TLS versie1.1, 1.2
VanafFirefox 24, Chrome 22, IE 11, Safari 7, IE8, Android 4.4, Java 7

 

Secure
OpmerkingVeilige, maar vooruitstrevende configuratie
PCI-DSSJa
A-ratingJa
TLS versie1.2
VanafFirefox 27, Chrome 30, IE 11, Safari 7, Android 4.4.2, Java 8

 

Ultra
OpmerkingZeer veilig. Werkt alleen met de meest moderne browsers
PCI-DSSJa
A-ratingJa
TLS versie1.2, 1.3 (sneak-preview!)
VanafFirefox 49, Chrome 50, IE 11, Safari 7, Android 7.0, Java 8

 

Alle huidige klanten gebruiken nu het Minimal profiel, nieuwe klanten stellen we in op het Secure profiel. Bij de eerstvolgende grote portal update kan je zelf wisselen van profiel, in de tussentijd kan je onze servicedesk vragen om deze wijziging handmatig voor je te doen. Belangrijk om te weten is dat je een profiel per server instelt en niet per individuele omgeving (website).

Toekomst

Wij adviseren onze klanten om na te gaan of er oude (bijv. kassa)systemen naar hun applicatie/website verbinden en er zeker van te zijn dat TLS 1.2 wordt ondersteund.

In 2019 gaan we alle klanten die nog geen andere profiel hebben gekozen omzetten naar het Secure profiel. Als je expliciet in de portal hebt aangegeven dat je het Medium/Minimal profiel wilt gebruiken blijft deze gewoon werken.

TLS 1.3

In 2017 schreven we al een verhaal over de nieuwste TLS specificatie. Deze kunnen wij inmiddels ook aanbieden op onze HPW servers. Deze wordt uitsluitend aangeboden bij het Ultra profiel. Het aantal webbrowsers die momenteel hiervoor ondersteuning bieden is echter nog klein.