Organisaties die van Transport Layer Security (TLS) gebruikmaken moeten hun leverancier vragen om TLS 1.3 te gaan ondersteunen, om zo beter op de toekomst te zijn voorbereid, zo adviseert het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid vandaag.

TLS is het meestgebruikte protocol voor beveiligde verbindingen op internet. Het gaat dan bijvoorbeeld om het beveiligen van web en e-mailverkeer. In het verleden publiceerde het NCSC al ict-beveiligingsrichtlijnen voor het gebruik van TLS. Vandaag is er een update voor deze richtlijnen uitgekomen. Daarin wordt geadviseerd om bij het inkopen, opstellen en beoordelen van configuraties voor TLS rekening te houden met TLS 1.3. Dit is de nieuwste versie van het protocol.

"TLS 1.3 is inmiddels goed beschikbaar in recente versies van softwarebibliotheken", aldus het NCSC. Op basis van nieuwe inzichten heeft het besloten om TLS 1.2 in veiligheidsniveau af te schalen van Goed naar Voldoende. TLS 1.3 houdt de beoordeling Goed. TLS 1.2 is volgens de overheidsinstantie nog steeds veilig, maar minder toekomstvast dan TLS 1.3.

"TLS 1.2 is minder robuust dan TLS 1.3 tegen toekomstige doorontwikkeling van aanvalstechnieken", stelt het NCSC. Zo zijn verschillende zwakkere elementen van TLS 1.2 niet in TLS 1.3 opgenomen. Daarnaast bevat TLS 1.3 minder kwetsbare configuratie-opties dan TLS 1.2, waardoor TLS 1.3 eenvoudiger veilig te configureren is. Verschillende categorieën aanvallen die tegen TLS 1.2 en eerdere versies werken zijn zodoende niet meer van toepassing op TLS 1.3. Daarom wordt organisaties aangeraden om hun leverancier te vragen TLS 1.3 te gaan ondersteunen.