Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft schakelt tls 1.3 in bij testversie Windows 10

Microsoft heeft transport layer security 1.3 ingeschakeld bij buildversie 20170 van Windows 10. Het gaat volgens het softwarebedrijf om de eerste stap op weg naar een brede invoering voor Windows 10.

Tls 1.3 is bij versie 20170 van de Windows 10 Insider Preview geactiveerd bij iis/http.sys. Vanaf de May 2019 Update heeft Windows 10 al experimentele ondersteuning voor de nieuwe tls-versie, maar de standaard inschakeling bij de huidige testversie is de opmaat naar de brede invoering van tls 1.3 bij Windows 10. De tls-stack ondersteunt de cipher suites tls_aes_128_gcm_sha256, tls_aes_256_gcm_sha384 en tls_chacha20_poly1305_sha256. Microsoft adviseert ontwikkelaars deze te gaan gebruiken voor apps en diensten.

Gebruikers van Edge Legacy en Internet Explorer kunnen tls 1.3 volgens Microsoft handmatig inschakelen via de geavanceerde instellingen bij de internetopties. De op Chromium gebaseerde Edge-browser ondersteunt, net als overige Chromium-browsers en Firefox tls 1.3 ook. De nieuwe Edge-browser doet dit onafhankelijk van de tls-stack van Windows en beheer zal via een Edge://flags-instelling verlopen.

Bij tls 1.3 is perfect forward secrecy verplicht gesteld en ondersteuning voor verouderde en zwakke bescherming en hashfuncties als md5 en sha-224 verwijderd. Ook is de handshake tussen de gebruiker en de server compacter gemaakt, zodat er minder onversleutelde data wordt uitgewisseld.

Tls staat voor transport layer security, het beveiligingsprotocol dat zorgt voor authenticatie en encryptie van verbindingen tussen server en gebruiker, zoals http-verbindingen, zodat deze niet kunnen worden afgeluisterd of vervalst. In 2018 bracht de Internet Engineering Task Force de definitieve versie van tls 1.3 uit. In dat jaar kondigden de makers van de populairste browsers aan dat ze de ondersteuning voor het verouderde tls 1.0 en 1.1 gingen stoppen.

Tls 1.3 IE

Door Olaf van Miltenburg

Nieuwscoördinator

20-08-2020 • 22:01

25 Linkedin

Reacties (25)

Wijzig sortering
Ben benieuwd hoe TLS 1.3 zich gaat ontwikkelen. China blokkeert verbindingen met TLS 1.3 al: https://www.reddit.com/r/...m=&utm_content=post_title
Dat is niet helemaal waar. Dat is wanneer er encrypted SNI wordt gebruik (optionele extensie op tls 1.3) Nu gaan je hostnames nog unencrypted over de lijn. Met ESNI is dat ook versleuteld. Dus niet meer te filteren, dus vinden bepaalde regimes dat niet leuk.
ESNI is niet eens een optionele extensie, het is nog niet eens af. Om te beginnen heet het geen ESNI meer, maar encrypted client hello (ECH), want met ECH is de hele ClientHello (inclusief andere gevoelige extensies zoals ALPN) encrypted.
Als een staat het 'niet leuk' vindt, is het des te meer reden om het wel te gaan gebruiken.
Nee, the great firewall of China herkent en blokkeer esni of hoe het mag heten.
Heh wut TLS 1.3 gaat nu pas aan, en 1.0 staat nog aan? Wat is dit, Windows XP?

Context: TLS 1.3 is in de bekende browsers en een boel andere software in 2017 al ingeschakeld en in 2018 al de default geworden.

TLS 1.1 en 1.2 bestaan al sinds 2006 en 2008, en worden allang overal breed ondersteund. 1.0 is opzich nog niet lek, maar het lijkt me verstandig om daar niet op te wachten. 1.1 en 1.2 zijn echt veiliger, dus 1.0 nu (of beter, jaren terug al) uitschakelen heeft echt direct effect op de impact van toekomstige ontdekkingen.

Achja, gelukkig staat SSL 3.0 wel uit. Want die is echt lek. Het is dus toch geen XP ;)
Je mag TLS 1.0 en 1.1 al niet meer gebruiken als je omgaat met AVG gevoelige gegevens (je dient in ieder geval bezig te zijn met het uitfaseren). Dat zegt ook wel wat.
Inderdaad, allen mag ik hopen dat de meeste bedrijven TLS 1.0 al lang uitgefaseerd hebben (praktijk leert anders helaas). De aanbevolen deadline daarvoor is al een behoorlijk tijd geleden verstreken.
https://blog.pcisecuritystandards.org/are-you-ready-for-30-june-2018-sayin-goodbye-to-ssl-early-tls
min ervaring leert dat bedrijven wiens belangrijkste inkomensbron niet het web is en/of ze ge geen gigantniche verliezen te lijden hebben met breaches, gewoon het ritme van het os volgen. Daar is op zich zelfs niks mis mee, zolang het is vervolgens min of meer up-to-date is.
De beveiliging die je nodig hebt, is ook altijd af te wegen tegen at je te beveiligen hebt.
PCI was volgens mij de eerste die TLS 1.0 verboden stelde, en is een van de zwaarste IT certificeringen die er is gericht op de financiële dienstverleners. Op dat moment waren er nog bijster weinig sites over. Logius (o.a. DigiD) verplicht het volgens mij ook pas vanaf dit jaar, daarvoor werd het nog gedoogd.

TLS 1.2+ is mooi, al zal het 2030 zijn eer we TLS 1.3 verplicht gaan stellen lijkt me. Wij zaten bijvoorbeeld nog met Nginx op CentOS 6, daar kon dat volgens mij simpelweg niet op, al is dat ook niet heel gek want CentOS 6 is ook EOL per eind dit jaar geloof ik.
Wij zaten bijvoorbeeld nog met Nginx op CentOS 6, daar kon dat volgens mij simpelweg niet op, al is dat ook niet heel gek want CentOS 6 is ook EOL per eind dit jaar geloof ik.
TLS offloader/reverse proxy (stunnel, HAProxy, nieuwere versie van nginx, ...) aan de voorkant met TLS 1.3 ondersteuning en gaan. Hoewel het geheel actueel brengen en houden natuurlijk beter is. ;)

Als organisatie is het ook niet zo moeilijk om server-side de communicatiebeveiliging te scheiden van het besturingssysteem en de applicatielaag. Al richt je dat van te voren één keer goed in, dan ben je de eerste die straks TLS 1.4/2.0 implementeert zonder problemen.

[Reactie gewijzigd door The Zep Man op 21 augustus 2020 07:47]

Gelukkig worden TLS 1.0 en ouder (SSL) sinds 2014 ook al niet meer actief benoemd op de pas toe of leg uit lijst van forum standaardisatie. Ook in overheidsland is het dus gelukkig al jaren de norm om met 1.2 of 1.3 aan de gang te gaan.

CentOS 6 heeft EOL op 30 nov dit jaar, maar full updates waren natuurlijk in 2017 al klaar. Dus dat was sws nu al een ding.
Wie zegt dat? Het is zeker onverstandig, en je kunt betogen dat oudere TLS versies geen passende technische beveiligingsmaatregelen zijn in de zin van de AVG. Maar een maatregel leeft niet in een vacuum, dus van "mag niet" zie ik graag een bron. Dat zou me ook helpen om mensen om me heen te overtuigen van de noodzaak te upgraden.

Gevonden:
https://www.ncsc.nl/docum...nsport-layer-security-tls

[Reactie gewijzigd door bassekeNL op 22 augustus 2020 10:41]

Dit is goed nieuws voor Modern Auth, aangezien dat nog vaak over de IE engine gaat, zelfs als je IE verwijdert.
Dit gaat over de client kant denk ik.
Wordt er ook iets gedaan aan de server kant? Als ik tls 1.3 probeer te forceren op een win 2019 server wordt dat wel geaccepteerd maar kan er geen verbinding gemaakt worden omdat deze niet volledig is.
Op een 2016 server wordt er gewoon over geschakeld naar tls 1.2

[Reactie gewijzigd door bartje op 21 augustus 2020 07:41]

Het gaat niet om de client kant (want elke machine die via TLS communiceert kan zowel server als client zijn), maar wel het desktop besturingsysteem inderdaad.

Alleen Windows Server 1903 heeft nu enige support voor TLS 1.3, de andere server versies helaas nog niet, heel frustrerend. En zelfs op Server 1903 is het alleen bedoeld om te kunnen testen, nog niet voor productie omgevingen.

[Reactie gewijzigd door 4Lph4Num3r1c op 21 augustus 2020 15:04]

Wel je zou echt verschieten als je in de praktijk gaat kijken wat er nog in gebruik is. Ik heb 1,5 jaar op een project gezeten waar het de bedoeling was alles naar TLS1.2 te migreren en oude ciphers te verwijderen alsook TLS1.3 aan te zetten (F5 Big-IP v15.1.x). De zaken die je dan tegenkomt zijn om te huilen en ook support van software leveranciers die het in Keulen horen donderen als je spreekt van TLS en HTTPS ... Zoals hierboven al is aangegeven is dit een leuke feature maar ik zie TLS1.3 standaard nog lang niet overal in gebruik gaan... Ik heb zelfs nog SSL zien passeren en nog steeds in gebruik door geen compatibiliteit/geen geld om dit recht te trekken
Misschien kan Microsoft TLS repareren op hun mailservers.

TLS error on connection from mail-db3eur04olkn0815.outbound.protection.outlook.com (EUR04-DB3-obe.outbound.protection.outlook.com) [2a01:111:f400:fe0c::815]:57431 I=[ipv6]:25 (send): The TLS connection was non-properly terminated.]

Edit: ik begrijp de downmod niet. Dit is een probleem bij een moderne TLS 1.3 ondersteunende server (Exim4 op Debian 10) wanneer die mail aanneemt van Microsoft servers. Deze fout bestaat al minstens 4 jaar.

[Reactie gewijzigd door mrmrmr op 21 augustus 2020 11:52]

Unproperly terminated TLS / SSL connecties bestaan al sinds IE 5 of 6 SSL (TLS) implementeert dus dat is niks nieuws O-)
Misschien dat de modders je daarom downvoten ;)

[Reactie gewijzigd door [Yellow] op 21 augustus 2020 19:08]

Misschien de emailboxen en telnummers van deze kruidenarts aanmelden voor alle spamlijsten die wij tweakers kennen?
Heeft je vriend ook wat tegen spam toevallig?
Quote:
De nieuwe Edge-browser doet dit onafhankelijk van de tls-stack van Windows en beheer zal via een Edge://flags-instelling verlopen.

Handig weer.
We hebben OS settings die we middels GPO's kunnen deployen om er voor te zorgen dat bepaalde SSL/TLS versies wel of niet aan staan, gaat Microsoft een applicatie daar los van laten draaien.
Weer meer policies.
Zonder al te veel googlen snap ik helemaal niks van dit artikel, wat is TLS en wat heb ik er aan? Een klein beetje achtergrond info zou me kunnen helpen.

https://nl.wikipedia.org/wiki/Transport_Layer_Security
Transport Layer Security (TLS) en diens voorganger Secure Sockets Layer (SSL), zijn encryptie-protocollen die de communicatie tussen computers (bijvoorbeeld op het internet) beveiligen. TLS wordt meestal uitgesproken als "tie-el-es".
Daarom zit je op Tweakers, en niet op NU.nl :-)

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True