Microsoft schakelt tls 1.3 in bij testversie Windows 10

Microsoft heeft transport layer security 1.3 ingeschakeld bij buildversie 20170 van Windows 10. Het gaat volgens het softwarebedrijf om de eerste stap op weg naar een brede invoering voor Windows 10.

Tls 1.3 is bij versie 20170 van de Windows 10 Insider Preview geactiveerd bij iis/http.sys. Vanaf de May 2019 Update heeft Windows 10 al experimentele ondersteuning voor de nieuwe tls-versie, maar de standaard inschakeling bij de huidige testversie is de opmaat naar de brede invoering van tls 1.3 bij Windows 10. De tls-stack ondersteunt de cipher suites tls_aes_128_gcm_sha256, tls_aes_256_gcm_sha384 en tls_chacha20_poly1305_sha256. Microsoft adviseert ontwikkelaars deze te gaan gebruiken voor apps en diensten.

Gebruikers van Edge Legacy en Internet Explorer kunnen tls 1.3 volgens Microsoft handmatig inschakelen via de geavanceerde instellingen bij de internetopties. De op Chromium gebaseerde Edge-browser ondersteunt, net als overige Chromium-browsers en Firefox tls 1.3 ook. De nieuwe Edge-browser doet dit onafhankelijk van de tls-stack van Windows en beheer zal via een Edge://flags-instelling verlopen.

Bij tls 1.3 is perfect forward secrecy verplicht gesteld en ondersteuning voor verouderde en zwakke bescherming en hashfuncties als md5 en sha-224 verwijderd. Ook is de handshake tussen de gebruiker en de server compacter gemaakt, zodat er minder onversleutelde data wordt uitgewisseld.

Tls staat voor transport layer security, het beveiligingsprotocol dat zorgt voor authenticatie en encryptie van verbindingen tussen server en gebruiker, zoals http-verbindingen, zodat deze niet kunnen worden afgeluisterd of vervalst. In 2018 bracht de Internet Engineering Task Force de definitieve versie van tls 1.3 uit. In dat jaar kondigden de makers van de populairste browsers aan dat ze de ondersteuning voor het verouderde tls 1.0 en 1.1 gingen stoppen.

Tls 1.3 IE

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 20-08-2020 22:01 25

20-08-2020 • 22:01

25

Lees meer

Microsoft waarschuwt gebruikers opnieuw voor einde van tls 1.0 en 1.1 in Windows
Microsoft waarschuwt gebruikers opnieuw voor einde van tls 1.0 en 1.1 in Windows Nieuws van 5 september 2023
NCSC raadt bedrijven in nieuwe richtlijn aan over te stappen naar tls 1.3
NCSC raadt bedrijven in nieuwe richtlijn aan over te stappen naar tls 1.3 Nieuws van 19 januari 2021
Microsoft opent 'incompatibele sites' in IE voortaan standaard in Edge
Microsoft opent 'incompatibele sites' in IE voortaan standaard in Edge Nieuws van 23 oktober 2020
Ook Google blijft tls 1.0 en 1.1 wat langer ondersteunen in Chrome
Ook Google blijft tls 1.0 en 1.1 wat langer ondersteunen in Chrome Nieuws van 5 april 2020
Internet Engineering Task Force brengt TLS 1.3 uit
Internet Engineering Task Force brengt TLS 1.3 uit Nieuws van 25 maart 2018
Meer producten en artikelen
Beveiliging en antivirus Browsers Tls

Reacties (23)

-Moderatie-faq
23
21
13
1
0
7
Wijzig sortering
RobbieB 20 augustus 2020 22:17
Ben benieuwd hoe TLS 1.3 zich gaat ontwikkelen. China blokkeert verbindingen met TLS 1.3 al: https://www.reddit.com/r/...m=&utm_content=post_title
johnny2000 @RobbieB20 augustus 2020 22:51
Dat is niet helemaal waar. Dat is wanneer er encrypted SNI wordt gebruik (optionele extensie op tls 1.3) Nu gaan je hostnames nog unencrypted over de lijn. Met ESNI is dat ook versleuteld. Dus niet meer te filteren, dus vinden bepaalde regimes dat niet leuk.
theguyofdoom @johnny200021 augustus 2020 07:58
ESNI is niet eens een optionele extensie, het is nog niet eens af. Om te beginnen heet het geen ESNI meer, maar encrypted client hello (ECH), want met ECH is de hele ClientHello (inclusief andere gevoelige extensies zoals ALPN) encrypted.
purper @RobbieB20 augustus 2020 22:28
Als een staat het 'niet leuk' vindt, is het des te meer reden om het wel te gaan gebruiken.
boonie @purper21 augustus 2020 17:15
Nee, the great firewall of China herkent en blokkeer esni of hoe het mag heten.
Peetz0r 20 augustus 2020 22:38
Heh wut TLS 1.3 gaat nu pas aan, en 1.0 staat nog aan? Wat is dit, Windows XP?

Context: TLS 1.3 is in de bekende browsers en een boel andere software in 2017 al ingeschakeld en in 2018 al de default geworden.

TLS 1.1 en 1.2 bestaan al sinds 2006 en 2008, en worden allang overal breed ondersteund. 1.0 is opzich nog niet lek, maar het lijkt me verstandig om daar niet op te wachten. 1.1 en 1.2 zijn echt veiliger, dus 1.0 nu (of beter, jaren terug al) uitschakelen heeft echt direct effect op de impact van toekomstige ontdekkingen.

Achja, gelukkig staat SSL 3.0 wel uit. Want die is echt lek. Het is dus toch geen XP ;)
MartijnHavinga @Peetz0r20 augustus 2020 22:46
Je mag TLS 1.0 en 1.1 al niet meer gebruiken als je omgaat met AVG gevoelige gegevens (je dient in ieder geval bezig te zijn met het uitfaseren). Dat zegt ook wel wat.
Blinkin @MartijnHavinga20 augustus 2020 22:54
Inderdaad, allen mag ik hopen dat de meeste bedrijven TLS 1.0 al lang uitgefaseerd hebben (praktijk leert anders helaas). De aanbevolen deadline daarvoor is al een behoorlijk tijd geleden verstreken.
https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls
the_stickie @Blinkin20 augustus 2020 23:49
min ervaring leert dat bedrijven wiens belangrijkste inkomensbron niet het web is en/of ze ge geen gigantniche verliezen te lijden hebben met breaches, gewoon het ritme van het os volgen. Daar is op zich zelfs niks mis mee, zolang het is vervolgens min of meer up-to-date is.
De beveiliging die je nodig hebt, is ook altijd af te wegen tegen at je te beveiligen hebt.
Zebby @Blinkin21 augustus 2020 00:59
PCI was volgens mij de eerste die TLS 1.0 verboden stelde, en is een van de zwaarste IT certificeringen die er is gericht op de financiële dienstverleners. Op dat moment waren er nog bijster weinig sites over. Logius (o.a. DigiD) verplicht het volgens mij ook pas vanaf dit jaar, daarvoor werd het nog gedoogd.

TLS 1.2+ is mooi, al zal het 2030 zijn eer we TLS 1.3 verplicht gaan stellen lijkt me. Wij zaten bijvoorbeeld nog met Nginx op CentOS 6, daar kon dat volgens mij simpelweg niet op, al is dat ook niet heel gek want CentOS 6 is ook EOL per eind dit jaar geloof ik.
The Zep Man
@Zebby21 augustus 2020 07:44
Wij zaten bijvoorbeeld nog met Nginx op CentOS 6, daar kon dat volgens mij simpelweg niet op, al is dat ook niet heel gek want CentOS 6 is ook EOL per eind dit jaar geloof ik.
TLS offloader/reverse proxy (stunnel, HAProxy, nieuwere versie van nginx, ...) aan de voorkant met TLS 1.3 ondersteuning en gaan. Hoewel het geheel actueel brengen en houden natuurlijk beter is. ;)

Als organisatie is het ook niet zo moeilijk om server-side de communicatiebeveiliging te scheiden van het besturingssysteem en de applicatielaag. Al richt je dat van te voren één keer goed in, dan ben je de eerste die straks TLS 1.4/2.0 implementeert zonder problemen.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 09:39]

supersnathan94 @Zebby21 augustus 2020 11:37
Gelukkig worden TLS 1.0 en ouder (SSL) sinds 2014 ook al niet meer actief benoemd op de pas toe of leg uit lijst van forum standaardisatie. Ook in overheidsland is het dus gelukkig al jaren de norm om met 1.2 of 1.3 aan de gang te gaan.

CentOS 6 heeft EOL op 30 nov dit jaar, maar full updates waren natuurlijk in 2017 al klaar. Dus dat was sws nu al een ding.
bassekeNL @MartijnHavinga22 augustus 2020 10:39
Wie zegt dat? Het is zeker onverstandig, en je kunt betogen dat oudere TLS versies geen passende technische beveiligingsmaatregelen zijn in de zin van de AVG. Maar een maatregel leeft niet in een vacuum, dus van "mag niet" zie ik graag een bron. Dat zou me ook helpen om mensen om me heen te overtuigen van de noodzaak te upgraden.

Gevonden:
https://www.ncsc.nl/docum...nsport-layer-security-tls

[Reactie gewijzigd door bassekeNL op 24 juli 2024 09:39]

Trommelrem 20 augustus 2020 22:16
Dit is goed nieuws voor Modern Auth, aangezien dat nog vaak over de IE engine gaat, zelfs als je IE verwijdert.
bartje 21 augustus 2020 07:40
Dit gaat over de client kant denk ik.
Wordt er ook iets gedaan aan de server kant? Als ik tls 1.3 probeer te forceren op een win 2019 server wordt dat wel geaccepteerd maar kan er geen verbinding gemaakt worden omdat deze niet volledig is.
Op een 2016 server wordt er gewoon over geschakeld naar tls 1.2

[Reactie gewijzigd door bartje op 24 juli 2024 09:39]

4Lph4Num3r1c @bartje21 augustus 2020 14:57
Het gaat niet om de client kant (want elke machine die via TLS communiceert kan zowel server als client zijn), maar wel het desktop besturingsysteem inderdaad.

Alleen Windows Server 1903 heeft nu enige support voor TLS 1.3, de andere server versies helaas nog niet, heel frustrerend. En zelfs op Server 1903 is het alleen bedoeld om te kunnen testen, nog niet voor productie omgevingen.

[Reactie gewijzigd door 4Lph4Num3r1c op 24 juli 2024 09:39]

Toon-VA 21 augustus 2020 08:12
Wel je zou echt verschieten als je in de praktijk gaat kijken wat er nog in gebruik is. Ik heb 1,5 jaar op een project gezeten waar het de bedoeling was alles naar TLS1.2 te migreren en oude ciphers te verwijderen alsook TLS1.3 aan te zetten (F5 Big-IP v15.1.x). De zaken die je dan tegenkomt zijn om te huilen en ook support van software leveranciers die het in Keulen horen donderen als je spreekt van TLS en HTTPS ... Zoals hierboven al is aangegeven is dit een leuke feature maar ik zie TLS1.3 standaard nog lang niet overal in gebruik gaan... Ik heb zelfs nog SSL zien passeren en nog steeds in gebruik door geen compatibiliteit/geen geld om dit recht te trekken
mrmrmr 21 augustus 2020 00:35
Misschien kan Microsoft TLS repareren op hun mailservers.

TLS error on connection from mail-db3eur04olkn0815.outbound.protection.outlook.com (EUR04-DB3-obe.outbound.protection.outlook.com) [2a01:111:f400:fe0c::815]:57431 I=[ipv6]:25 (send): The TLS connection was non-properly terminated.]

Edit: ik begrijp de downmod niet. Dit is een probleem bij een moderne TLS 1.3 ondersteunende server (Exim4 op Debian 10) wanneer die mail aanneemt van Microsoft servers. Deze fout bestaat al minstens 4 jaar.

[Reactie gewijzigd door mrmrmr op 24 juli 2024 09:39]

[Yellow] @mrmrmr21 augustus 2020 19:07
Unproperly terminated TLS / SSL connecties bestaan al sinds IE 5 of 6 SSL (TLS) implementeert dus dat is niks nieuws O-)
Misschien dat de modders je daarom downvoten ;)

[Reactie gewijzigd door [Yellow] op 24 juli 2024 09:39]

ASS-Ware 22 augustus 2020 00:53
Quote:
De nieuwe Edge-browser doet dit onafhankelijk van de tls-stack van Windows en beheer zal via een Edge://flags-instelling verlopen.

Handig weer.
We hebben OS settings die we middels GPO's kunnen deployen om er voor te zorgen dat bepaalde SSL/TLS versies wel of niet aan staan, gaat Microsoft een applicatie daar los van laten draaien.
Weer meer policies.
alionfire @Merkin Muffley21 augustus 2020 11:22
Zonder al te veel googlen snap ik helemaal niks van dit artikel, wat is TLS en wat heb ik er aan? Een klein beetje achtergrond info zou me kunnen helpen.

https://nl.wikipedia.org/wiki/Transport_Layer_Security
Transport Layer Security (TLS) en diens voorganger Secure Sockets Layer (SSL), zijn encryptie-protocollen die de communicatie tussen computers (bijvoorbeeld op het internet) beveiligen. TLS wordt meestal uitgesproken als "tie-el-es".
Daarom zit je op Tweakers, en niet op NU.nl :-)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq