Vanaf maart 2020 worden het verouderde en onveilige TLS 1.0 en 1.1 niet meer ondersteund door de meeste browsers. In de laatste week van januari en in de eerste week van februari schakelen wij TLS 1.1 uit op alle webservers.
TLS 1.1 stamt uit 2006 en bevat een hoop zwakheden, waardoor het onveilig is. Het nog oudere TLS 1.0 van 1999 was al lang niet meer actief op onze servers.
Wat is TLS?
TLS staat voor Transport Layer Security. Het is een protocol voor het beveiligen van de communicatie op het internet door het versleutelen van HTTP-verkeer. Het is de opvolger van SSL.
De oudere versies van TLS bevatten zwakheden die misbruikt kunnen worden. TLS 1.2. is de nieuwe standaard en Stip Hosting ondersteunt alleen nog TLS 1.2.
Waarom ondersteunt Stip Hosting alleen TLS1.2?
TLS versies 1.0 en 1.1 zijn per 30 juni 2018 End Of Life (EOL) verklaard. Stip Hosting heeft er voor gekozen om, naast TLS 1.2, het oude TLS 1.1 nog enige tijd beschikbaar te houden zodat gebruikers de tijd kregen om de besturingssystemen te updaten of om te schakelen naar moderne mailclients.
We schakelen nu het oude TLS 1.1 uit omdat het onveilig is en om te voldoen aan de richtlijnen van het Ministerie van Justitie en Veiligheid.
Wat merk ik ervan?
Als het goed is, merk je er niets van! Alleen als je een te oud besturingssysteem gebruikt, zoals Windows XP of Windows Vista, zul je je website daarmee niet kunnen bezoeken.
Gebruik je een sterk verouderde browser, dan geeft dat ook problemen.
Overigens, mocht je zo’n oud besturingssysteem of verouderde browser gebruiken, dan ben je wel zeer kwetsbaar, omdat er veel lekken in zitten die niet meer gerepareerd worden. Het is daarom toch een goed idee om uit te gaan kijken naar een alternatief.
In de figuur hieronder zie je welke versies van browsers overweg kunnen met TLS 1.2 (groen) en welke niet (rood).
Overigens schakelen de belangrijkste browsers op vrij korte termijn de ondersteuning voor TLS 1.0 en 1.1 uit.
Browser | Datum dat ondersteuning stopt |
Microsoft IE en Edge | Eerste helft van 2020 |
Mozilla Firefox | Maart 2020 |
Safari/Webkit | Maart 2020 |
Google Chrome | Januari 2020 |
Mailprogramma’s en besturingssystemen
Onderstaande mailprogramma’s en besturingssystemen hebben geen ondersteuning voor TLS 1.2. Het is dus van belang dat je deze update wanneer je gebruik wilt maken van e-mail.
- Windows 8.1 of ouder
- Outlook 2013 of ouder
- Windows Live Mail (zover bekend alle versies)
- MacOS 10.13 (High Sierra) of ouder
- Apple Mail 9.3 of ouder
- Android KitKat (4.4) of ouder
- Sommige versies nieuwer dan Android KitKat ondersteunen ook geen TLS 1.2
- iOS versie 9 of ouder
Waarom geen TLS 1.3?
Op dit moment ondersteunen we nog niet het nieuwste TLS 1.3 omdat sommige essentiƫle software op de servers daar niet mee overweg kan. TLS 1.3 is de nieuwste TLS-versie en wordt ook nog niet door alle browsers ondersteund.
Veilig internetten
Internetcriminelen maken gebruik van lekken in software om binnen te dringen in computers, servers of om internetverkeer te onderscheppen. Door software up-to-date te houden dicht je nieuw ontdekte lekken. Dat up-to-date houden geldt voor software op computers, laptops, smartphones en ook voor servers. Stip Hosting vindt het belangrijk dat jij veilig van alle diensten, zoals je website en e-mail, gebruik kunt maken.
Sommige software heeft zo veel lekken of wordt niet meer bijgewerkt, dat je het beter kunt verwijderen of vervangen. Denk aan Windows XP. Maar ook TLS 1.1 is te oud en het is daarom niet verantwoord dit nog langer te gebruiken. Daarom is de ondersteuning ervan stopgezet.
SSL Labs rating
Op de website van SSL Labs test je de veiligheid van SSL-beveiliging van een server. Na het invoeren van je domeinnaam van de hostingprovider krijg je na een tijdje wachten het resultaat. Je kunt scoren van A+ t/m F, waarbij A+ voor zeer goed staat en F voor slecht. SSL Labs heeft aangekondigd dat servers met een score van A of A+, die na eind januari nog TLS 1.1 ondersteunen, worden gedegradeerd naar B.
Al onze webhostingservers scoren een A. Je krijgt een A+ als je HSTS aan zet. Dat doe je door in het .htaccess bestand een stukje code toe te voegen. Het .htaccess bestand staat in de root van je website.
<IfModule mod_headers.c>
Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>