De Wet Bescherming Persoonsgegevens verplicht websites tot het beveiligen van de verzending van persoonsgegevens. Daarom is één van de strikt geadviseerde beveiligingseisen van het College Bescherming Persoonsgegevens het implementeren van een SSL-certificaat. Dit is van toepassing als een webapplicatie persoonsgegevens uitwisselt. Bijvoorbeeld door middel van een contactformulier. Het niet beveiligen van dergelijke informatie kan zelfs leiden tot boetes, opgelegd door de Autoriteit Persoonsgegevens. Daarnaast kan een vergoeding voor de geleden schade door slachtoffers van internetcriminaliteit worden verhaald. Veel webapplicaties, websites en webshops maken inmiddels al gebruik van een SSL-certificaat. Dit is een beveiliging die zorgt voor encryptie van data waardoor informatie die van en naar de applicatie gestuurd wordt op een veiligere manier over de verbinding loopt. Het doel van SSL is om twee partijen, bijvoorbeeld een webserver en webbrowser, in staat te stellen om via een onbetrouwbaar netwerk, zoals het internet, veilig gegevens uit te wisselen. Dit heeft als voordeel dat wanneer deze onderschept zou worden door derden - bijvoorbeeld met een zogenoemde man-in-the-middle attack - de onderschepte data versleuteld en daarmee in principe onbruikbaar wordt. De onderschepper heeft immers de sleutel niet. Per 30 juni 2018 gaat hier het een en ander in veranderen. In deze blog leggen we uit wat er precies gaat veranderen en wat voor gevolgen dit heeft.
TLS in plaats van SSL
TLS, Transport Layer Security, is een verbeterde en veiligere versie van SSL. Wij noemen onze beveiligingscertificaten nog SSL, omdat dit van oudsher de gebruikte encryptie methode is en daardoor nog altijd de meeste bekende en gebruikte naam is. Wanneer je tegenwoordig een ‘SSL-certificaat’ aanschaft, is dit in werkelijkheid een TLS-certificaat. Met de ontwikkeling van TLS zijn vele kwetsbaarheden die in oude SSL voorkwamen verholpen en zijn nieuwe beveiligingsmechanismen toegevoegd.
Hoe werkt zo'n certificaat?
SSL-certificaten maken gebruik van protocollen om de versleuteling van gegevensuitwisseling te regelen. In feite is dit een voorwaarde voor de verbinding die tussen (web)server en applicatie gelegd wordt. Momenteel zijn er vier protocollen die door webbrowsers ondersteund worden: SSL 3.0, TLS 1, TLS 1.1 en TLS 1.2. Automatisch wordt de meest veilige (hoogste) protocol gebruikt die zowel zender als ontvanger kunnen "verstaan". Eigenlijk gebeurt het volgende: Een cliënt maakt een verzoek naar een server en zegt: "Ik wil graag TLS 1.2 gebruiken om te communiceren, maar ik kan eventueel ook TLS 1.1 gebruiken." De server reageert dan bijvoorbeeld met: "Ik versta geen TLS 1.2, maar wel TLS 1.1 en TLS 1.0. Dus laten we TLS 1.1 gebruiken." Dit onderhandelen van protocollen en de overeenstemming daarvan wordt een handshake genoemd.
Wat gaat er gebeuren?
Momenteel zijn er dus vier protocollen die door webbrowsers ondersteund worden: SSL 3.0, TLS 1, TLS 1.1 en TLS 1.2. Vanaf 30 juni 2018 zijn dit er nog maar twee, omdat SSL 3.0 en TLS 1.0 niet langer als sterke cryptografie worden beschouwd. Dit komt onder andere door mogelijke zwakten bij een zogenoemde POODLE attack. Hierdoor kunnen deze twee protocollen per 30 juni 2018 niet meer worden gebruikt als beveiligingscontrole. Dit betekent dat certificaten, applicaties én webservers minimaal TLS 1.1 en TLS 1.2 protocollen moeten ondersteunen om een beveiligde verbinding te kunnen blijven garanderen. Ook worden websites vanaf deze datum door partijen als Google op hun beveiliging beoordeeld. Websites met een lagere security óf geen TLS-certificaat, in de volksmond nog steeds SSL-certificaat genoemd, krijgen in onder andere Google een lagere ranking in de zoekresultaten. Dit heeft weer invloed op je traffic en SEO. Bezoekers van websites zonder TLS krijgen vanaf 30 juni 2018 automatisch een melding dat de website onveilig is. De stempel ‘onveilig’ wil je natuurlijk voorkomen. Daarom is het belangrijk om te zorgen voor de juiste certificering.
Wat gaat Netvlies veranderen?
Wij hebben security hoog in het vaandel staan. Daarom zijn al onze servers standaard uitgerust met TLS 1.1 en TLS 1.2 protocol ondersteuning. Om de ontwikkeling op het gebied van security bij te houden, hebben wij ervoor gekozen om de ondersteuning van TLS 1 en SSL 3.0 protocollen al vanaf 30 april 2018 uit te schakelen op onze servers. In principe merk je hier niets van: huidige browsers ondersteunen immers al TLS 1.1 en TLS 1.2. Wel kan het in uitzonderlijke gevallen zijn dat (verouderde) externe koppelingen met webapplicaties nog via TLS 1 communiceren. Mocht dit het geval zijn, dan werken deze niet meer. De ontwikkelaars van deze koppelingen zullen moeten overschakelen naar TLS 1.1 en/of TLS 1.2, omdat de browserondersteuning van TLS 1 per 30 juni 2018 komt te vervallen. Alle klanten die momenteel persoonsgegevens versturen van en naar hun website, maar geen (juiste) certificaat hebben, worden hiervan op de hoogte gesteld. Zij worden dringend geadviseerd deze wel te (laten) implementeren. Dit om risico's op het lekken van persoonsgegevens en de daaraan hangende consequenties voor onze klanten tot een minimum te beperken.