TLS 1.0 en 1.1 bijna end of life: wat betekent dit voor je webapplicaties?
Internetprotocollen TLS 1.0 en 1.1 zijn in maart dit jaar end-of-life. Populaire browsers Chrome, Safari, Edge, Internet Explorer en Firefox zullen dan de verouderde protocollen niet meer ondersteunen. Dit heeft mogelijk effect op de beschikbaarheid van websites en (verouderde) applicaties die gebruikmaken van de verouderde versies.
Wat is TLS?
TLS staat voor Transport Layer Security en wordt in het dagelijks leven gebruikt om de authenticiteit van een server te controleren. Je kent het protocol misschien beter als onderdeel van een SSL-certificaat. De termen TLS en SSL worden vaak door elkaar gebruikt maar in feite is SSL de voorganger van TLS.
TLS gaat uit van twee basisprincipes: authenticatie en encryptie. Via het TLS-protocol kan een server geauthenticeerd worden met een certificaat. Het is een soort garantie dat de opgevraagde server die vanuit de browser benaderd wordt, ook daadwerkelijk de opgevraagde server is. Tevens zorgt het protocol ervoor dat verkeer van en naar een server versleuteld wordt. Aan de hand van symmetrische cryptografie wordt het verkeer afgeschermd en pas uitgewisseld als er een key exchange plaats heeft gevonden.
SSL-certificaten
Klinkt dit een beetje als een SSL-certificaat? Dan zit je er niet ver naast. De termen TLS en SSL worden namelijk wel eens door elkaar gebruikt. Over het algemeen is de SSL-certificaat hetgeen wat de meeste mensen kennen. De https-verbinding, het groene slotje, het webverkeer dat versleuteld wordt: die principes zijn allemaal te danken aan het TLS-protocol.
Over het versleutelen van verkeer, de verschillen tussen SSL en TLS valt overigens genoeg te vertellen. Mocht je geïnteresseerd zijn in de verschillen dan raden we de website howhttps.works aan. In een aantal comics worden de verschillen helder uitgelegd.
Video: Wat is SSL, TLS en HTTPS?
Heb je zeven minuten over en wil je meer weten over hoe SSL, TLS of HTTPS en alles daartussenin werkt? Dan is onderstaande video een interessante bron:
Waarom verdwijnen TLS 1.0 en TLS 1.1?
Zowel TLS 1.0 en TLS 1.1 worden naar verwachting eind februari of maart niet meer ondersteund in alle populaire browsers en clients. De oorzaak heeft niet zozeer te maken met security, maar met moderniteit. Het huidige TLS-protocol is inmiddels negentien jaar oud en dat is vrij oud op het internet.
Is de TLS beveiliging verouderd? Dat niet. Er zitten geen directe kwetsbaarheden in maar nieuw is het ook niet te noemen. Tegelijkertijd groeit ook de rekenkracht en het aantal computers dat deze rekenkracht gebruikt wereldwijd. In theorie zijn computers daardoor steeds meer in staat om complexe algoritmes zoals cryptografie te doorbreken. Om dit voor te zijn en het web een stuk veiliger te maken hebben de techgiganten besloten om TLS 1.0 niet meer te ondersteunen.
Het niet meer ondersteunen van TLS 1.1 komt met name door het lage gebruik ervan. Naar schatting gebruiken slechts 0.1% van alle connecties het TLS 1.1 protocol. Een aantal features van TLS 1.0 worden in TLS 1.1 protocol verbeterd, maar nieuwe standaarden TLS 1.2 en 1.3 worden gezien als betere alternatieven voor de toekomst. Zo is TLS 1.2 bijvoorbeeld een vereiste bij HTTP/2, een nieuwe versie van het bestaande HTTP-protocol waarmee webpagina’s sneller geladen worden. Overigens is het een veilige aanname dat veel verkeer al via TLS 1.2 gaat.
TLS 1.0 en 1.1 end-of-life: wat betekent het?
Heel plat gezegd zijn websites of applicaties die enkel TLS 1.0 of TLS 1.1 gebruiken straks niet meer beschikbaar, al zal dit per browser verschillen.
Websites die naast TLS 1.0 en 1.1 óók 1.2 en 1.3 gebruiken zullen bereikbaar zijn zonder problemen. Het probleem vindt vooral plaats bij de bereikbaarheid van servers die enkel TLS 1.0 en 1.1 ondersteunen. Die servers zullen geconfigureerd moeten worden voor ondersteuning naar 1.2 of 1.3.
Gebeurt dat niet? Dan zullen populaire browsers problemen hebben om de websites te bereiken. Webbezoekers die via Chrome-versie 79 naar een website surfen krijgen met enkel ondersteuning voor TLS 1.0 of 1.1. krijgen een rood scherm en een foutmelding te zien.
Vanaf versie Chrome 81 gaat Google zelfs voorkomen dat websites met TLS1.0 en TLS1.1 verbonden kunnen worden. Bezoekers krijgen dan de melding: “Your connection is not fully secure. This site uses an outdated security configuration, which may expose your information.”
Alle grote browsers doen mee
Firefox, Internet Explorer en Edge zullen het voorbeeld volgen van Chrome en met soortgelijke foutmeldingen komen. Kortom: niet tijdig acteren kan grote gevolgen hebben voor de bereikbaarheid van websites.
TLS 1.0 en 1.1 einde support
Firefox – maart 2020
Safari – maart 2020
Chrome/Chromium – 13 -20 februari (beta Chrome 81)
Internet Explorer/Edge – maart 2020
TLS versie controleren
Er zijn meerdere manieren om te checken of je gebruikmaakt van een TLS versie 1.0 of 1.1 die bijna end of life is. Via internet.nl is bijvoorbeeld te zien of je website gebruikmaakt van moderne internetstandaarden.
Een andere (en betere optie) is SSL Labs. Deze site controleert je website vrij uitgebreid op met name het gebruik van SSL en TLS. SSL Labs gaat uit van een andere standaard, namelijk de standaard die ook wordt gehanteerd door Mozilla (de organisatie achter browser Firefox).
Over de auteur: Kilian Drewel werkt als content marketeer bij True.
Gerelateerd event
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
1 Reactie
bert
Kleine moeite om alles te ondersteunen, dat doe ik dus ook. TLS1-1.3, maar óók HTTP zonder S. Zeker voor statische content zonder gebruikersinvoer geen enkel probleem. Ik maak mijn sites binnenkort werkend van Mosaic tot Firefox 72. Nu Gopher nog aan boord krijgen, dat is helaas wél lastig.