Breadcrumbs

Doel van de upgrade

Het doel van deze upgrade is om verbindingen die opgebouwd worden tussen Athumi en haar partners op een veilige manier in te richten zodat we volgende elementen blijvend ondersteunen

  • het anticiperen op opkomende dreigingen en kwetsbaarheden

  • het borgen van de vertrouwelijkheid, integriteit en beschikbaarheid van data (gegevens) tijdens de overdracht

  • Compliance met wet- en regelgeving

    • De AVG wetgeving stelt in Art. 32 dat je bij het nemen van maatregelen rekening houdt met de stand van de techniek ->TLS 1.3 is beschikbaar sinds 2018

    • De NIS2 wetgeving stelt in Art. 30 §2 eveneens dat maatregelen moeten rekening houden met de stand van de techniek ->TLS 1.3 is beschikbaar sinds 2018

1.1. Verbeterde beveiliging

  • TLS 1.3 elimineert verouderde, kwetsbare algoritmes (zoals RC4, SHA-1, CBC).

  • Forward Secrecy is standaard: zelfs als een sleutel gecompromitteerd raakt, zijn eerdere sessies niet te decrypten.

  • Minder kans op downgrade attacks, want ondersteuning voor TLS 1.0/1.1 is volledig verwijderd.

  • Het upgraden naar TLS 1.3 is eenvoudiger dan het blijvend correct en veilig configureren van TLS 1.2

1.2. Hogere performantie

  • TLS 1.3 reduceert de handshake naar één round-trip (1-RTT).

  • Hierdoor wordt latency verminderd en is de verbinding sneller opgezet wat resulteert in een hogere performantie.

1.3. Supply chain security

  • Data die via verouderde versleuteling wordt uitgewisseld, vormt een ketenrisico. Elke zwakke schakel ondermijnt de beveiliging van de keten.

  • Door TLS 1.3-only in te richten , dragen we samen met onze partners actief bij aan een veiligere digitale infrastructuur voor alle partijen en de eindgebruikers.

1.4. Bekende gebreken van TLS 1.2

  • Hoewel het verkeer op de applicatielaag altijd versleuteld is, zijn de meeste handshake-berichten niet versleuteld. Daardoor is de geboden privacy suboptimaal. Dit is een protocolprobleem dat niet via configuratie kan worden opgelost.

  • TLS 1.2 kan nog steeds relatief veilig geconfigureerd worden maar configuratiefouten zijn echter veel voorkomend waardoor er een vals gevoel van veiligheid ontstaat

  • Het oorspronkelijke protocol, in zijn huidige vorm, biedt geen afdoende beveiliging vanwege de zogenaamde "Renegotiation"-aanvallen. Bepaalde extensies zijn vereist om voldoende beveiliging te bieden.

  • TLS 1.2 zal nooit post-quantum cryptografie ondersteunen, TLS 1.3 is dat wel.