Microsoft faseert tls 1.0 en 1.1 vanaf 15 oktober uit in Office 365

Microsof gaat later dit jaar tls 1.0 en tls 1.1 in Office 365 uitfaseren. Dat gebeurt vanaf oktober 2020. Het bedrijf had de uitfasering eerder nog uitgesteld vanwege de uitbraak van het coronavirus. Voor de browsers van Microsoft was al een datum bekend.

Microsoft noemt 15 oktober in een update van een blogpost over Office 365. Versies 1.0 en 1.1 van het transport layer security-protocol worden vanaf die datum niet meer ondersteund in Office 365. Microsoft verwacht daar weinig problemen mee, aangezien het overgrote merendeel van de gebruikers al over is op opvolger tls 1.2. Dat is bijvoorbeeld ook het geval in de Office-software. Daarnaast benadrukt het bedrijf dat tls 1.0 en 1.1 geen bekende beveiligingskwetsbaarheden hebben.

Verschillende techbedrijven zijn al langer bezig met de uitfasering van verouderde tls. Browsermakers Mozilla, Google en Apple waarschuwen, net als Microsoft, al jaren voor het gebruik ervan. Begin dit jaar was het nog de bedoeling om tls in de eerste helft van 2020 uit te faseren, maar in veel gevallen werd dat uitgesteld. Ook Microsoft besloot het uitfaseren uit te stellen. Voor de browsers Internet Explorer en Edge zijn de oudere tls-protocollen vanaf 8 september niet meer te gebruiken.

Reacties (54)

Hans van Eijsden 21 juli 2020 15:02

Fijn dat het uiteindelijk toch nog dit jaar gebeurt bij Microsoft. Hiermee stelt het gebruikers in staat om zich bovendien gemakkelijker aan de richtlijnen van de overheid te houden, met name hier in Europa.

Zelf testen of je provider je mail (en eventueel je website) technisch correct heeft ingesteld kun je doen op https://internet.nl - het platform is een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid.

appendto @Hans van Eijsden • 21 juli 2020 16:26

Een andere die ik zelf vaak ook gebruik is https://ssllabs.com. Meeste mensen zullen die wel kennen. Ook belangrijk om te weten is is dat internet.nl de richtlijnen(https://www.ncsc.nl/docum...nsport-layer-security-tls) van NCSC(Nationaal Cyber Security Centrum) volgt. Ik kan elke beheerder die te maken heeft met TLS aanraden om die richtlijnen een keer door te lezen.

[Reactie gewijzigd door appendto op 25 juli 2024 17:46]

Anck @appendto • 21 juli 2020 20:08

https://www.immuniweb.com/ssl/ is ook nog een aardige.

Fairy @Hans van Eijsden • 21 juli 2020 15:07

Vaak is het wel noodzakelijk dat support verdwijnt. Hier hebben we jarenlang gewerkt met een bankprogramma waarbij je op de PC bijna elke compatibiliteit moest aanzetten in internet explorer (en een stokoude java moest installeren) voordat je enigszins verbinding kon maken en het pakket kon gebruiken en zolang dit werkte zagen ze ook echt geen reden om dit te veranderen.

Een moderne browser werd simpelweg geweigerd.

Ook bij een bepaalde douanesite moest steevast vanalles aangepast worden, anders kon je het systeem gewoon niet gebruiken. Heel bijzonder dat ze er zo lang mee wegkomen.

walteij @Fairy • 21 juli 2020 16:10

Vlag 1: Internet explorer
Vlag 2: Compatibiliteitsmodus
Vlag 3: Oude JAVA versie

Bij vlag 1 zou ik al sterke twijfels krijgen, vlag 2 is voor mij reden om een klacht bij de bank neer te leggen, vlag 3 om heel snel een andere bank te zoeken die veiligheid wel wat hoger in het vaandel heeft.

K-aroq @walteij • 21 juli 2020 16:19

Dat laatste is als particulier heel makkelijk te doen. Als bedrijf is dat vaak een stuk lastiger omdat je met veel processen te maken hebt die zijn ingeregeld voor een specifieke situatie. Denk alleen al aan automatische verwerking van transacties in je andere bedrijfssytemen. Als het in een andere format wordt aangeleverd moet je dan aanpassen en vervolgens moet je alle systemen die er gebruik van maken aanpassen, audtitten etc. Op basis van 1 IT aspect switchen doe je niet zomaar. En als bedrijf heb je ook een andere relatie met je bank. Denk aan kredieten e.d.

walteij @K-aroq • 21 juli 2020 16:27

Klopt, voor een bedrijf is overstappen een stuk ingewikkelder als voor een particulier.
Voornamelijk vanwege de bedrijfsprocessen en het (gebrek aan) inzicht van deze processen.

Als alle processen goed beschreven zijn, weet je dus waar en wanneer je in het proces contact moet leggen met je bank en dus ook waar je gegevens moet aanpassen.
Dat gezegd hebbende, is het natuurlijk wel een erg ingrijpend proces om het rekening nummer te wijzigen, je crediteuren en debiteuren hiervan op de hoogte te stellen, de processen aan te passen en een goede controle te houden op de overstap.

Een krediet bij een bank, zal door een andere bank (mits je business case nog steeds even valide is) tegenwoordig relatief snel worden overgenomen.

Verwijderd @Fairy • 21 juli 2020 15:18

Je zou ze kunnen wijzen op de verplichte Baseline Informatiebeveiliging Overheid maar ik weet wel zeker dat je melding ergens in een la verdwijnt

batjes

Microsoft

@Verwijderd • 21 juli 2020 15:59

Binnen de overheid zijn ze soms wel snel bang voor escalatie. De boel laten escaleren via je eigen leidinggevenden kan vaak nog wel het één en ander in beweging krijgen. Of de Informatie Beveiliging afdeling(en) binnen de organisatie er mee lastig vallen.

fastbikkel @Fairy • 21 juli 2020 15:44

Zo herkenbaar dit, ik krijg t er (spreekwoordelijk) bijna benauwd van. :-)

gimbal @Fairy • 21 juli 2020 15:48

Technical debt. Heel veel meuk is in de glorietijden als Java applet ontwikkeld, dat is een dure grap om even naar puur webbased om te zetten. Ik heb het een paar keer mogen doen... het is naast een dure grap ook spectaculair niet leuk werk.

Sterker ik heb ooit eens een oude dos applicatie opnieuw moeten implementeren als webapp, want lekker hip. Dat was voor de tijd van Javascript, gewoon lekker client-server. Uiteindelijk is dat project behoorlijk in de prak gelopen... want men was extreem gewend aan de snelle invoer in de dos schermen en de business leunde ook wel behoorlijk zwaar op die snelle invoer om alle data in een dag maar in te kunnen kloppen, daar was bijna niet tegenaan te concurreren met een webapp, zeker niet eind jaren 90 / begin 2000.

Datzelfde probleem had ik ook met de applet vervangingen, alhoewel web UI kits sindsdien wel een hoop kunnen schelen. Hoe dan ook moet je enorm voorzichtig zijn, puur webbased maakt niet alles beter.

Verwijderd @Hans van Eijsden • 22 juli 2020 17:23

Maar staar je ook niet blind op de scores. Die zijn lang niet altijd haalbaar: https://www.mite3.nl/2020...me-bij-internet-nl-komen/

xtrme 21 juli 2020 14:49

voor mensen zoals ik
SSL TLS HTTPS process explained in 7 minutes
https://www.youtube.com/watch?v=4nGrOpo0Cuc

[Reactie gewijzigd door xtrme op 25 juli 2024 17:46]

johnkeates @xtrme • 21 juli 2020 14:57

Of, explained in twee regels: TLS (en SSL) zijn systemen om dataverkeer te coderen zodat het niet leesbaar is voor derden. Om dat systemen niet perfect zijn wordt er continue aan verbetering gewerkt wat er soms toe leidt dat er een verbeterde versie beschikbaar komt en een oudere versie niet meer veilig genoeg is.

Martinspire

Microsoft

@johnkeates • 21 juli 2020 17:10

een oudere versie niet meer veilig genoeg is.

Hmm:

Daarnaast benadrukt het bedrijf dat tls 1.0 en 1.1 geen bekende beveiligingskwetsbaarheden hebben.

Dan lijkt het me dat er toch nog wel een andere reden is

johnkeates @Martinspire • 21 juli 2020 17:15

Het bedrijf (Microsoft) heeft het mis, er zijn wel bekende beveiligingskwetsbaarheden maar ze willen doen alsof het niet zo is zodat de klanten met Windows Server 2003 een oude IIS en IE6 niet komen huilen

Een protocol kan ook kwetsbaar zijn om dat de default implementatie onveilig is, bijvoorbeeld als je TLS 1.1 met compressie gebruikt, of RC4 aan laat staan. Dan gaat het niet zo zeer om het TLS niveau zelf, maar om het feit dat sommige opties in hogere TLS versies verwijderd zijn waardoor je voor aanvallen in SSL v3, TLS 1.0 en TLS 1.1 niet meer kwetsbaar bent om dat die opties in TLS 1.2 en 1.3 niet meer bestaan.

Neem BEAST in TLS 1.0 bijvoorbeeld; je had de optie om 1/n-1 split in de client te gebruiken om iets teven die IV block discovery te doen, of BEAST compleet te blokkeren door RC4 te gebruiken. Maar RC4 zelf is onveilig, dus dat lost eigenlijk het probleem niet op. En 1/n-1 is client-side only dus dan ben je er nog niet.

[Reactie gewijzigd door johnkeates op 25 juli 2024 17:46]

Wim-Bart @johnkeates • 22 juli 2020 00:00

Daarom hebben we de enige, nog aanwezige 2003 server, achter een fysieke, eigen firewall staan, en gaat hij alleen maar aan wanneer hij nodig is. Gevolg, Business gaat eindelijk nadenken om software wat er op draait te vervangen, want dit is wel heel vervelend om iedere keer een Request in te schieten, om hem 2 uur aan te hebben

2bad4u @xtrme • 21 juli 2020 15:28

of in tekst vorm:

https://www.beijesweb.nl/...-tls-en-starttls-in-mail/

flabber @2bad4u • 21 juli 2020 22:43

Sorry, maar die tekst is
A. grammaticaal onjuist:

...
De gebruikersnaam en het wachtwoord worden nog wel in onversleuteld naar de server,...

B. inhoudelijk onjuist:
STARTTLS is een optie die een [E]SMTP server teruggeeft als ondersteunde opties/protocollen op het moment dat een SMTP client een EHLO geeft (in tegenstelling tot een HELO).
Een andere optie die dan doorgegeven kan worden is AUTH om aan te geven dat er authenticatie wordt ondersteund.
Goed ingerichte mail servers staan bij een onvertrouwde connectie, dus via internet, een AUTH commando pas toe als er er eerst via STARTTLS een beveiligde verbinding is gestart.

Beter een niet beveiligde verbinding en geen authenticatie dan het doorgeven van credentials over een onbeveiligd kanaal!

[Reactie gewijzigd door flabber op 25 juli 2024 17:46]

lenwar

Beveiliging en antivirus
Microsoft

@xtrme • 21 juli 2020 16:53

Mocht je geïnteresseerd zijn in versleuteling in een meer algemene opzet en hoe het praktisch toegepast wordt, heeft Art of the Problem een hele aardige serie gemaakt op Youtube.

Hij begint met, wat zijn priemgetallen en versleuteling bij de Romeinen, en eindigt bij RSA-versleuteling in pakkembeet 20 minuten dacht ik.

https://www.youtube.com/p...WlgLoapF5VvM_8h5OR-XW9pbr

Halfkakkende @xtrme • 21 juli 2020 15:21

Bedankt, ik had geen idee wat TLS inhoudt. Een korte omschrijving wat mij betreft de volgende keer wel Aan het bericht toegevoegd worden.

Verwijderd @Halfkakkende • 21 juli 2020 19:14

Dit is tweakers en van tweakers wordt verwacht dat ze ook zelf e.e.a. kunnen opzoeken. In een krant voor economen wordt ook niet bij elk artikel uitgelegd wat inflatie betekent bijv.

Google Duckduckgo is your friend.

JBVisual 21 juli 2020 15:27

Veel beheerder zullen hier nog flink wat werk aan hebben.
Leg je klanten maar eens uit dat hun printer vervangen moet worden omdat scan-to-mail niet meer veilig gebruikt kan worden. (zonder zelf een tussenoplossing of een onveilige oplossing te bieden)

[Reactie gewijzigd door JBVisual op 25 juli 2024 17:46]

fastbikkel @JBVisual • 21 juli 2020 15:46

Helaas is psychologie een essentieel onderdeel van IT. :-)
Ik zeg dit even gekscherend hoor want zo voelt het af en toe wel vind ik.
Het gaat vaak totaal niet om feiten en waarheid in de IT, maar meer dan eens om emotie/gevoel/verwachting beheersing.

K-aroq @fastbikkel • 21 juli 2020 16:21

Hoezo helaas? De rol van IT is ondersteunend aan mensen en hoe mensen hun werk kunnen doen. Voor de gebruiker moet het gewoon werken. Meer niet. IT is geen doel op zich, maar een middel. Goed communiceren is 1 van de meeste belangrijke eigenschappen van een goede IT-er. En om goed te kunnen communiceren heb je toch een beetje basiskennis psychologie nodig.

[Reactie gewijzigd door K-aroq op 25 juli 2024 17:46]

fastbikkel @K-aroq • 21 juli 2020 16:40

Ik vind dat een kwestie van helaas omdat het me te vaak is voorgekomen dat ik me niet kon bezighouden met de techniek/oplossing, maar moest focussen op het bespelen van emoties en om de hete brij heendraaien.

TL:DR

Dit is ook 1 van de redenen waarom techneuten niet altijd meegaan met een verkoopgesprek bij de klant.
Ik garandeer als IT'er nooit dat iets 100% werkt, ik garandeer alleen mn inzet.
Nou dat valt vrij slecht bij een aantal :-)
Voor de verkoper is het doel om het product te verkopen, hoe de IT afdeling dat oplost is niet zijn/haar probleem vaak.

"IT is geen doel op zich, maar een middel"
Op zich niets mis mee lijkt me, maar mijn doel als IT'er is een oplossing/oplevering. Als ik me moet gaan bezighouden met diplomatie of iets dergelijks, dan kom ik in vaarwater waar ik niet voor geleerd heb of voor betaald wordt.
Nu klinkt dat zwart/wit, dat is het niet helemaal en dat hoeft ook niet. Maar zodra het grootste deel van mijn IT functie gaat over gevoelens en emoties, dan stagneert de boel en kan ik niet goed leveren.

Ik kan hier nog wel even over doormodderen, maar ik probeer af te ronden.
Dit soort dingen komt ook gewoon voorbij komt met oplossen van storingen e.d.
Dan duurt het hele verhaal maar voort, omdat mensen een gevoel hebben dat compleet misplaatst is.
Het gewoon uitleggen aan de mensen wordt niet altijd gewaardeerd.
1 van die mooie emotiebespelingen is de verandering van "shared infra" naar "multi tenant".
Het is veelal hetzelfde, maar omdat klanten hier en daar een slechte asociatie hadden met "shared" moest men iets nieuws bedenken. Shared insinueert namelijk dat je last kunt krijgen als een andere klant meer resources vraagt.
Noem het "multi tenant" en het lijkt ineens minder erg.
Onze klanten hadden nooit last van andere klanten, we hadden giga resource overschot, maar het gevoel bij klanten bleef maar hangen.

Chinco @fastbikkel • 21 juli 2020 20:13

Dit is ook 1 van de redenen waarom techneuten niet altijd meegaan met een verkoopgesprek bij de klant.
Ik garandeer als IT'er nooit dat iets 100% werkt, ik garandeer alleen mn inzet.
Nou dat valt vrij slecht bij een aantal :-)
Voor de verkoper is het doel om het product te verkopen, hoe de IT afdeling dat oplost is niet zijn/haar probleem vaak.

Dit is voor mij de reden om juist te vragen om een techneut me te nemen bij een vekoopgesprek. Ik zit aan de armste kant van de tafel dan, hè? Een verkoper heeft geen antwoord op mijn inhoudelijke vragen, een mooi plaatje verzinnen kan ik ook zelf wel.

En meestal ben je dan als techneuten in een half uur klaar. En heel erg soms blijkt dat er dan geen IT-technische kennis in huis te zijn, wat natuurlijk niet goed komt...

fastbikkel @Chinco • 22 juli 2020 11:39

Een aantal keren heb ik helaas toch wel pijnlijke dingen moeten meemaken waarbij klanten echt de "sjaak" waren.
Wij gaven al ruim van tevoren aan bepaalde limieten te hebben en dat de verkopers dus voorzichtig dienden te zijn met bepaalde beloftes.
Toch werd het product dan verkocht een een bepaalde klant ,onder voorwendselen die simpelweg niet gingen werken.
Gevolg was dat ik en een collega ruim 8 weken dag en nacht hebben moeten werken om uiteindelijk toch gewoon de klant te laten weten dat het niet werkt.
Nu was de klant natuurlijk helemaal "pissed" omdat hij/zij dit vantevoren wilde weten.

Uiteindelijk was dit voor mij ook 1 van de redenen om weg te gaan bij het bedrijf. We werden als team namelijk ook nog eens beticht van slechte informatiedeling.
We konden prima bewijzen dat we zeer proactief waren geweest, maar gelijk krijgen ho maar. Alles vastleggen is belangrijk voor je bewijsvoering.

Ik geloof in eerlijkheid, naar zowel klanten als collega's.

Chinco @fastbikkel • 22 juli 2020 13:09

Zo, dat is heftig. Dat soort verkopers, daar heb ik zo’n hekel aan... En die maken dat ik me bij alle verkopers op mijn hoede ben.

2 jaar terug wel een bijzondere (Duitse) verkoper in de IT meegemaakt: die deed zelf ook de fysieke levering en implementatie van de VMware en Backup omgeving. Die wist duidelijk waar ie het over heeft.

Inmiddels wel een betere baan?

fastbikkel @Chinco • 22 juli 2020 13:19

Ja ik ben flink doorgegroeid inmiddels, qua kennis en salaris.
Mooi dat je VMware en backup noemt vind ik, ik heb zelf VMware en Veeam certificering.
Maar nu doe ik niets meer daarmee, ik zit nu volledig aan de windows applicatiekant.

Ik vind het vaak wel handig als een verkoper ook technisch inzicht heeft.

Wel denk ik ook dat de keuze om de potentiele klant te "behagen" ook voortkomt uit het de gedachte dat je de klant niet wilt kwijtraken aan een concurrent.
Ik heb begrip voor de verkopers op dat vlak, uiteindelijk willen we 's avonds allemaal een gevuld bordje hebben.
Maar een wortel voorhouden, daar heb ik een broertje dood aan.

cricque @K-aroq • 21 juli 2020 22:20

Ja maar als je dus in een bedrijf zit, waar je alles aan de hand van treintjes en auto's moet uileggen ... en waarom er weer maar eens extra niet voorziene kosten zijn ... Ik probeer het altijd zo simpel mogelijk uit leggen, maar soms lukt dat gewoonweg niet. En niiet voorzien: dit kon je zien aankomen, maar leg maar eens uit dat je in 1x nu moet bijbetalen voor software pakket X omdat ze hun licentiemodel wijzigen ofzo, sommige doen dit heel goed op voorhand. Andere doen dit, we gaan dit wijzigen, je kan kiezen A of B.
Maar het punt is, ik ben geen psycholoog. En als je niet snapt dat je "constant" moet alles liggen updaten, tsja dan ga je toch een keer zwaar tegen de lamp lopen. En dan zal het een pak meer geld kosten om dingen up to date te brengen. Uiteraard zit er bij velen nu schrik voor gdpr in. Dus kan je het daar nog altijd op afschuiven, en dan kan het meestal wel direct.
Maar ga jij maar eens aan de CEO uitleggen waarom je iets moet herschrijven als je wilt upgraden naar versie X van programmeertaal Y. Ja maar dat is nog maar 2 jaar oud, daar is nu geen tijd voor ... Al dikwijls meegemaakt. Vorig jaar maak ik een budget op ... voor 90% afgeschoten kost teveel, brengt niks op ... Maandje terug ... ja we gaan toch meer moeten automatiseren en toch ook beetje naar security moeten kijken ... mijn reply dus ... dat was het plan voor dit jaar en hebben jullie NIET goedgekeurd ... en nu gaan we dat doen op nog zo een 6 maanden tijd ... gaat niet lukken ... ja maar dat moet toch nog dit jaar gebeuren ... Not going to happen uiteraard

[Reactie gewijzigd door cricque op 25 juli 2024 17:46]

Het.Draakje @JBVisual • 21 juli 2020 15:56

https://security.stackexc...1-2-enable-simultaneously

Gewoon jouw inkomende (interne) scan-to-mail via versie 1 en al het andere gewoon via 1.2.

Hoezo uitleggen dat die printer vervangen moet worden? Noch de uitleg noch de vervanging is nodig. Uiteraard wel even versie 1 verwijderen als de printer uiteindelijk toch vervangen is (vanwege een defect).

Blokker_1999

Microsoft
Beveiliging en antivirus

@JBVisual • 21 juli 2020 15:56

Vereis je intern dat email geencrypteerd moet zijn? En wat doe je met externe mail providers die het niet ondersteunen (zo zijn er nog enorm veel). Wij vereisen het alleen bij cliënten die er expliciet om vragen, in alle andere gevallen is het optioneel.

Trommelrem @JBVisual • 21 juli 2020 16:39

Legacy Auth wordt niet volledig uitgeschakeld! Voor printers blijft het in beginsel aan staan, mits je Security Defaults niet inschakelt.

johnkeates @JBVisual • 21 juli 2020 17:18

Als je zelf wel een oplossing biedt (gewoon je werk doet) is er niks aan de hand. Er is niets op tegen om een proxy en reverse proxy voor je printer te zetten.

JBVisual @johnkeates • 22 juli 2020 08:12

maar dan nog moet er werk gedaan worden. Dat moet ergens van betaald worden.
Ik heb zat klanten zonder support contract, die dus uurtje factuurtje krijgen voor het werk.
Dan moet ik dus nog steeds uitleggen dat hun printer niet meer zal functioneren.

johnkeates @JBVisual • 22 juli 2020 21:19

Dat klopt, maar in principe had dat vooraf al gekund he ;-) "Nee meneer, dit is geen apparaat dat zonder onderhoud z'n hele leven zal functioneren, dat bestaat niet, maar je kan wel geluk hebben dat hij kapot is voor dat er iets gewijzigd moet worden".

Wim-Bart @JBVisual • 22 juli 2020 00:07

Praat me er niet van, en hoe veel leveranciers er nog niet klaar voor zijn. Echt een drama. Er is software die gewoon instort wanneer TLS 1.0/1.1 en SSL 1.0 wordt uitgezet als zowel client en server protocollen. Echt gewoon een drama.

Er zijn zelfs fabrikanten die dan zeggen, je moet upgraden naar versie x, want versie y uit 2019 kan het nog niet. O ja, is nieuwe versie dus valt buiten support contract.......

Maurits van Baerle 21 juli 2020 15:02

Ik draai nu sinds een paar dagen IndicateTLS en het is me opgevallen hoeveel sites al TLS 1.3 draaien. Ik heb misschien sinds november even niet zo gelet op het TLS landschap en ineens is het vrij rap gegaan.

Tweakers zelf doet ook TLS 1.3, hoewel een paar van de tracking- en measurementtools die T.Net draait nog geen 1.3 ondersteunen dus in de praktijk is het een gemengde TLS1.2 en TLS1.3 verbinding.

DDX @Maurits van Baerle • 21 juli 2020 15:35

Microsoft (IIS ed) doet nog niet aan tls1.3.

1superheld @DDX • 21 juli 2020 16:09

In Windows 10 2004 is dit wel te enablen/disablen op IIS binding niveau (moet je dus een vrij recente Windows Server versie voor hebben)

wildhagen

Beveiliging en antivirus

@1superheld • 21 juli 2020 16:16

Versie 1903 had ook al support voor TLS 1.3, alleen was dat puur voor testing-purposes:

Will TLS 1.3 be supported in Windows 10 and Server?

TLS 1.3 is also supported on Windows 1903 as of release of this article for testing purposes only, not production environment.

Microsoft heeft een vrij duidelijke pagina over TLS 1.3-support in hun produkten (denk ook aan SQL Server, IE, Edge, .NET Framework etc): Microsoft TLS 1.3 Support Reference

1superheld @Maurits van Baerle • 21 juli 2020 15:41

Voor CloudFlare is het een vinkje zetten en je hebt TLS 1.3 ondersteuning, dus als een paar grote sites (m.b.v. een CDN) dit al zo snel aan kunnen zetten zou ik daar inderdaad ook geen nee tegen zeggen!

-weenie- 21 juli 2020 15:05

Een bepaalde nederlandse nederlandse infrabeheer op het spoor heeft gewoon nog een applicatie draaien via TLS 1.0

Afgelopen maart zelfs nog verlengd.

Auteur

TijsZonderH Nieuwscoördinator @-weenie- • 21 juli 2020 15:24

Lekker... Om wat voor applicatie gaat het dan?

P1nGu1n

@TijsZonderH • 21 juli 2020 15:39

www.prorail.nl? https://www.cdn77.com/tls-test?domain=www.prorail.nl

michelr @P1nGu1n • 21 juli 2020 16:15

TLS12 staat aan; TLS10+11 uitzetten heeft soms wat meer voeten in de aarde.

bzzzt @michelr • 22 juli 2020 08:55

Het probleem is dat de onveiligheid zit in het aanwezig zijn van ondersteuning van die oude versies omdat een aanvaller in staat kan zijn een downgrade naar tls 1.0 te forceren.

-weenie- @TijsZonderH • 21 juli 2020 16:40

Gaat om een applicatie (firewalled dan wel) die gebruikt wordt voor goederenvervoerders. Daarin kan je dan kijken of het treinpad is gemaakt en dat je trein kan vertrekken. Chrome vertikt het iig al om daar het certificaat permanent te accepteren ondanks handmatig whitelisten. Nu kwestie van tijd dat ook internet explorer het niet meer doet dus.

Trommelrem 21 juli 2020 15:46

Op 13 oktober wordt ook Legacy Auth gedeeltelijk uitgezet (yeah!!!). Wanneer wordt Legacy Auth volledig uitgezet? En wanneer verdwijnen eindelijk de Baseline CA policies?

michelr @Trommelrem • 21 juli 2020 16:18

Baseline CA policies staan per eind Feb al uit; vervanger is 'Security Defaults'.
LegacyAuth uitzetten kan al- per tenant. Dat is, als die klant er klaar voor is. Dat is vaak eerder het probleem.

Trommelrem @michelr • 21 juli 2020 16:38

Ja klopt, maar ik kan er niet tegen dat er 4 ongebruikte policies staan, waardoor je, als je iets meer CA policies hebt, een knopje moet drukken om ze allemaal te zien. Security Defaults zijn voor alle beginners perfect, omdat daarmee ook Legacy Auth wordt uitgeschakeld, maar ze gaan niet samen met CA.

terabyte 21 juli 2020 15:50

fijn dat ze de oude uitfaseren, maar nog veel fijner zou zijn als MS ook voorop zou lopen met het uitrollen van nieuwe versie, zoals TLS 1.3

Noxious @terabyte • 21 juli 2020 19:32

Er is experimentele support in de MS-browsers, maar serverside helaas nog helemaal niets. Erg jammer inderdaad.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (54)

Sorteer op:

Weergave: