Microsoft stopt vanaf juli volledig met TLS 1.0 en TLS 1.1 in Exchange Online

Microsoft zet de ondersteuning van de TLS 1.0- en TLS 1.1-standaarden in Exchange Online vanaf juli volledig stop. Het bedrijf gaat POP3- en IMAP4-verbindingen die nog gebruikmaken van een van die oude versies van het TLS-protocol blokkeren.

Microsoft schrijft dat veel moderne e-mailclients al TLS 1.2 of nieuwere versies van het protocol ondersteunen. Het 'overgrote deel' van het POP- en IMAP-verkeer zou gebruikmaken van deze nieuwere protocollen. Volgens het bedrijf bieden TLS 1.0 en TLS 1.1 niet meer de bescherming die tegenwoordig nodig is. De protocollen werden in respectievelijk 1999 en 2006 geïntroduceerd.

Microsoft begon in 2023 al met het blokkeren van TLS 1.0- en TLS 1.1-verbindingen in zijn zakelijke e-maildienst. Destijds bleef het nog wel mogelijk om de oudere versies te gebruiken als klanten zich daarvoor aanmeldden. Die ondersteuning valt vanaf juli ook weg. Microsoft bouwt al jaren de ondersteuning van de oude TLS-protocollen in zijn software af. Dat gebeurde enkele jaren geleden al in Microsoft 365 en de browsers Edge en Internet Explorer.

Security stock. Bron: Tadamichi via Getty Images

Door Imre Himmelbauer

Redacteur

Feedback • 28-04-2026 17:22 37

28-04-2026 • 17:22

37

Lees meer

Let's Encrypt maakt TLS-certificaten van 160 uur algemeen beschikbaar
Let's Encrypt maakt TLS-certificaten van 160 uur algemeen beschikbaar Nieuws van 16 januari 2026
Let's Encrypt verkort geldigheid certificaten en komt met nieuwe DNS-challenge
Let's Encrypt verkort geldigheid certificaten en komt met nieuwe DNS-challenge Nieuws van 3 december 2025
TLS- en SSL-certificaten zijn vanaf 2029 nog maximaal 47 dagen geldig
TLS- en SSL-certificaten zijn vanaf 2029 nog maximaal 47 dagen geldig Nieuws van 15 april 2025
Exchange Online krijgt ondersteuning voor inbound-SMTP DANE en Dnssec
Exchange Online krijgt ondersteuning voor inbound-SMTP DANE en Dnssec Nieuws van 19 juli 2024
Meer producten en artikelen
Netwerk en systeembeheer Software development Internet

Reacties (37)

-Moderatie-faq
37
35
13
2
0
17
Wijzig sortering

Sorteer op:

Weergave:
Snow_King 28 april 2026 17:30
Mooi! Het is echt tijd dat alles <TLS1.2 uit wordt gezet, fijn dat Microsoft deze stap nu zet.

Er zullen wat oude printers zijn die via POP3 hun mailbox leeglezen en nu niet meer werken, maar dat is echt heel oud spul.
Reageer
duvekot @Snow_King28 april 2026 17:40
Ze zijn er toch best wel laat bij ...:
RFC 8996 Deprecating TLS 1.0 and TLS 1.1 March 2021

En zelfs in Windows zelf is het al sinds 2023 uit gezet:
TLS 1.0 and TLS 1.1 soon to be disabled in Windows
Reageer
dakathefox @duvekot28 april 2026 17:55
Bij mijn vorige werkgever heb ik hemel en aarde moeten bewegen om over te stappen op TLS 1.2. Je wilt niet weten hoe dat gesprek oneindige werd gerekt en gestrekt, om de investering (en het werk) maar uit te stellen. Ik heb het uiteindelijk laten klappen en de CEO moest met hangende pootjes aan de klanten gaan uitleggen waarom hij er geen prioriteit aan had gegeven.

Security heeft lang niet overal de prioriteit helaas.
Reageer
dinoballz @dakathefox29 april 2026 08:21
Mijn werk is in het leveren van internet security. Als je ziet hoeveel van onze grote klanten gewoon grandioos achterlopen en dus eisen dat we oude producten zoals SSLv3 cyphers nog blijven ondersteunen….
Reageer
Thc_Nbl @dinoballz29 april 2026 10:31
Dus jullie "eisen", zijn in strijd met de wet.
Dat wordt nog leuk als er aan NIS2 wetgeving binnenkort in gaat.
Reageer
dinoballz @Thc_Nbl29 april 2026 13:48
Inderdaad, het is krankzinnig.

Ik hoorde van een kennis die tijdelijk werkte voor een Duitse bank dat ze nog Windows 3.11 machines hebben omdat bepaalde applicaties nooit zijn aangepast naar nieuwere OS.
Reageer
xxs @Snow_King28 april 2026 17:37
Wat is het probleem voor de thuisgebruiker om oude encryptie te gebruiken op de email?
Reageer
dasiro @xxs28 april 2026 17:51
exchange online is een business/enterprise product, dus niet echt van toepassing op thuisgebruikers
Reageer
SpoekGTi @dasiro28 april 2026 18:08
Waarom zijn er dan gewoon enterprise business pakketten te koop voor de normale thuisgebruiker? Ik ben ook thuis gebruiker, heb ook gewoon een tenant met wat mailboxen en wat mailadressen die actief gebruikt worden.
Reageer
JBVisual @SpoekGTi28 april 2026 18:28
Dan ben je eigenlijk ook geen doorsnee thuisgebruiker meer te noemen.
En als je een tenant hebt, dan ben je een zakelijke overeenkomst met Microsoft aangegaan, een eigen tenant is per detentie al geen consumentenproduct.

Ik heb ook een gratis tenant van Microsoft met 10x Microsoft 365 E5, Intune suite en copilot. (NFR overeenkomst)
Deze is misschien aan mij als persoon verbonden, maar kent wel een zakelijke ondertoon.
-ik moet Microsoft certificeringen behouden en blijven volgen
-ik moet voor een MSP werken (met een bepaalde status)
-ik moet eens in de zoveel tijd meedoen met een onderzoek
-geen recht op support
-Microsoft mag activiteiten monitoren.
-Microsoft behoud zich het recht om bij het vermoeden van misbruik je tenant te blokkeren. (De tenant is officieel voor persoonlijke ontwikkeling en niet voor productie doeleinden. Je mag het privé gebruiken)

Zeker het feit dat ik in dienst moet zijn bij een MSP geeft mij aan dat dit een zakelijke overeenkomst is.
Reageer
dasiro @SpoekGTi28 april 2026 23:08
omdat je ervoor betaalt alsof je een bedrijf bent :+
Microsoft allows adding a custom domain (e.g., yourname.be) only on Microsoft 365 Business or Enterprise tenants.
This includes:
  • Microsoft 365 Business Basic
  • Microsoft 365 Business Standard
  • Microsoft 365 Apps for Business
  • All Enterprise (E1/E3/E5) plans
Microsoft removed support for custom domains on:
  • Microsoft 365 Personal
  • Microsoft 365 Family
Reageer
Blokker_1999
@SpoekGTi29 april 2026 02:16
Zoals de naam aangeeft zijn dat nog altijd zakelijke pakketten. En ja, ook mijn private email staat gewoon op EXO, voor die enkele Euro per maand krijg je 1 van de beste maildiensten terug die je je maar kunt wensen.
Reageer
xxs @dasiro28 april 2026 18:59
"Microsoft begon in 2023 al met het blokkeren van TLS 1.0- en TLS 1.1-verbindingen in zijn zakelijke e-maildienst"

Onnodige toevoeging dan?
Reageer
Blokker_1999
@dasiro29 april 2026 02:15
Exchange Online is de backbone van hotmail. De tijd dat dit enkel zakelijk gebruikt werd ligt ver achter ons.
Reageer
Zeebaard @xxs28 april 2026 19:16
Encryptie heeft als doel de content te beveiligen en de authenticiteit te waarborgen. Als je oude encryptie methodes blijft gebruiken dan neemt de kans toe dat zwakke algoritmes misbruikt worden en jij niet meer de enige bent die toegang heeft tot de content. Je kunt denken dat je als thuisgebruiker geen interresant doelwit bent, maar mail wordt vaak gebruikt voor bijvoorbeeld 2fa of 'wachtwoord vergeten' mails.
Reageer
xxs @Zeebaard28 april 2026 20:38
Welk gevaar loopt een thuisgebruiker? Ik bedoel mail komt of via een kabel binnen en kan er niemand 'meeluisteren' (of je heb evil in je huis en een heel ander probleem) of de mail komt binnen via een Wifi accesspoint met daarop de toegang en encryptie geregeld.

Ik beschouw mail altijd als een briefkaart, in principe ben jij NIET de enige die deze kan lezen of je moet hem in een envelop stoppen en dicht plakken (encrypted met een certificaat voor mail).
Reageer
Zeebaard @xxs28 april 2026 21:20
Als je mail beschouwt als een briefkaart waarbij anderen de inhoud kunnen meelezen, dan zou ik niet graag mijn wachtwoord-reset berichten of two-factor-authentication berichten via een briefkaart ontvangen.

Voor goede security is gelaagdheid belangrijk. Wifi encryptie is beveiliging voor het netwerkverkeer lokaal. De kabel waarop jouw mail binnenkomt is van een provider, de kans dat iemand op die kabel meeluistert is in Nederland misschien niet zo groot. Dat kan anders zijn als je mail op je mobiel ontvangt en hier en daar contact maakt met andere wifi netwerken.
Zoals CAPSLOCK2000 al aangaf is het punt waarop oude encryptie gebroken gaat worden misschien niet heel ver weg meer. Fijn om dan wel zeker te weten dat niemand mee leest.

Daarnaast gelden er bepaalde standaarden op internet, die zijn soms aan vernieuwing toe en moeten met hun tijd mee gaan. Ik heb vaak genoeg ervaren dat een oude browser of oude SSH client een bepaalde cipher of TLS versie niet ondersteunt. Heel onhandig...

Maar wil jij je oude mailprogramma blijven gebruiken en ben je je bewust van de risico's? Vooral doen dan!

[Reactie gewijzigd door Zeebaard op 28 april 2026 21:41]

Reageer
xxs @Zeebaard28 april 2026 21:52
Mail kan gelezen worden op iedere server b.v. die van je provider, Gmail of wat dan ook. Ja natuurlijk moet je rechten hebben om die te lezen maar jij bent zeker NIET (m.u.v. de afzender) de enige die de mail kan lezen. Dus ja jouw 2FA of WW reset berichten kunnen relatief gemakkelijk misbruikt worden.

Die gelaagdheid snap ik en m.b.t. een publiek (rogue) accesspoint heb je een punt, daar zou een kwaadwillende jouw verkeer op kunnen vangen en dan de oude <TLS1.2 proberen te kraken. Zelf gebruik ik altijd een VPN met mijn thuisnetwerk.

Nieuwe standaarden prima, ik heb zelf voor mijn ssh servers een aantal oude cyphers uitgezet.

Ik gebruik geen oud email programma daar gaat het niet om maar ik wil snappen waar het 'gevaar zit' voor de echte thuis gebruiker en dat blijkt reuze mee te vallen dus.

Telnet of http is in een thuisnetwerkje ook nog prima te gebruiken en toch heb ik ook binnenshuis allemaal geldige certificaten op mijn servers al is het alleen maar om van die 'klote' browser meldingen af te zijn.
Reageer
CAPSLOCK2000
@xxs28 april 2026 21:51
Prima insteek om mail als briefkaart te zien, helemaal mee eens, maar het grootste deel van de wereld ziet het niet zo. Jan en alleman mailt gewoon een kopie van z'n paspoort. Ik heb alleen controle over wat ik zelf verstuur, niet over wat anderen sturen of doorsturen. Versleutelde mail is helaas nog steeds niet breed aangeslagen.

Dan is er nog het probleem dat je bij veel diensten een wachtwoord-reset per mail krijgt. Toegang tot je mail betekent al snel toegang tot talloze andere accounts. (2fa helpt maar is ook nog niet universeel).


Het klopt dat je grotere problemen hebt als je netwerk wordt afgeluisterd maar dat is alleen maar meer reden om te doen wat je kan. Thuisgebruikers zijn ook mensen in hotels en op vliegvelden, mensen die affaires hebben of willen scheiden van een slechte partner.

Verder denk ik dat je onderschat hoe makkelijk het is om Wifi af te luisteren. Een fake accesspoint met dezelfde naam is vaak al genoeg.
Reageer
xxs @CAPSLOCK200028 april 2026 21:58
Je stelt wel heel makkelijk dat WIF gemakkelijk af te luisteren is. Een fake AP met dezelfde naam is niet genoeg, ja voor een open AP zonder encryptie maar als je geen open of WEP AP hebt valt dat best tegen.

Ook hier doet een VPN met het thuisfront weer wonderen. ;-)

Mijn accesspoint doet wpa2-eap (dot1x) dus daar komt met de huidige kennis niks tussenin.
Reageer
CAPSLOCK2000
@xxs28 april 2026 22:22
Je had het over thuisgebruikers maar nu kom je met (semi)zakelijk oplossingen aanzetten. Dat doen normale thuisgebruikers niet.

Dat je dat soort technieken inzet zegt mij dat je 'gewoon' wpa2 ook niet genoeg vindt.

Goede security bestaat uit vele lagen zodat gaten in de ene laag door de andere worden opgevangen. Er is nu nog geen groot gat maar de rafels zijn zichtbaar aan het worden. Daarom nu deze laag verbeteren voordat er echte problemen optreden. In deze laag of elders. Voorkomen is beter dan genezen.
Reageer
xxs @CAPSLOCK200029 april 2026 07:06
Sorry voor de verwarring, mijn eigen setup is natuurlijk niet voor die gemiddelde thuisgebruiker bedoeld en ook niet als maatregel om maar een oud prototol te gebruiken.

Mag ik dan concluderen dat het gebruik van oude TLS voor de thuisgebruiker nihil is en voor de mobiele gebruiker iets groter? Hoewel de mobiele gebruiker wss een moderne telefoon/laptop heeft waar al helemaal geen oude email client op aanwezig is.

Dat was mijn initiele vraag aan Snow_King.

[Reactie gewijzigd door xxs op 29 april 2026 07:07]

Reageer
CAPSLOCK2000
@xxs29 april 2026 17:41
T is maar hoe je er naar kijkt, de kans dat je huis afbrandt is ook heel klein, maar als het jou overkomt is het wel heel vervelend. Op dit moment is het risico er klein maar nu de risico's verhelpen is beter dan wachten tot het hals over kop moet.

De geprikkelde reacties die je krijgt zijn omdat je vraag klinkt als 'wat is het risico van geen rookmelder hebben'? De individuele kans op brand is klein maar over de hele samenleving is het een zekerheid dat het een keer hard fout gaat.

Daarbij denk ik dat je niet moet denken in termen van thuis vs zakelijk, alles loopt door elkaar.
Reageer
xxs @CAPSLOCK200029 april 2026 19:50
Eens dat je risico's zo veel mogelijk moet vermijden. Die geprkkelde reacties zijn niet erg, soms is het ook lastig lezen en schrijven wat er precies bedoeld wordt, ook door mijzelf.

Ik denk dat ik de vraag ook beter iets anders had kunnen stellen;

'Hoe zou deze zwakkere encryptie misbruikt kunnen worden bij de thuisgebruiker?'

Enfin, we hoeven het niet over te doen en bedankt voor jouw inbreng hierin.
Reageer
CAPSLOCK2000
@xxs28 april 2026 18:30
Het aantal problemen en zwakheden begint op te stapelen. Het punt is dichtbij dat die oude encryptie helemaal gebroken gaat worden. Dan is het te laat en zou het paniekvoetbal worden.
Het is nu al meer een kwestie van hoeveel geld/moeite een aanvaller wil investeren, maar meestal zijn er makkelijkere aanvallen zoals iemand z'n laptop stelen of besmetten. Dat gaat een keer veranderen.

Daarbij zijn thuisgebruikers een zeer diverse groep die ook communiceren met bedrijven, overheden, dokters, etc. Om het maar niet te hebben over kleine bedrijfjes die werken via prive-accounts. Dat is misschien niet hoe het hoort maar het gebeurt wel. Voor hun, en hun klanten, is het beter dat ze een handje geholpen worden.

[Reactie gewijzigd door CAPSLOCK2000 op 28 april 2026 23:44]

Reageer
visleeuw @xxs28 april 2026 17:58
Wat is het probleem voor de thuisgebruiker om een modern e-mail programma met up to date encryptie te gebruiken?
Reageer
Stronk @xxs28 april 2026 22:58
@visleeuw heeft een sarcastische ondertoon maar dat komt omdat het voor zich spreekt natuurlijk. TLS 1.0 en TLS 1.1 zijn officieel "depreciated". Verouderd- en vervangen door een nieuwe oplossingen. De reden voor depreciation kan je vinden in RFC8996.

Thuisgebruik en enterprise zijn verschillende use cases, maar maken vaak gebruik van dezelfde onderliggende protocollen. RFC's beschrijven protocollen op technisch niveau, en zonder rekening te houden met de context en use case waarin ze worden toegepast.

Je vraag is eigenlijk niet relevant, omdat het besluit is gemaakt op basis van een RFC.

[Reactie gewijzigd door Stronk op 28 april 2026 22:59]

Reageer
xxs @Stronk29 april 2026 07:09
Dus omdat bepaalde protocollen depricated zijn mag ik niet vragen waar het gevaar schuilt?
Reageer
Firestorm666 @xxs29 april 2026 20:33
Je bent op een frontpage van een technologie website, niet seniorennet ofzo.
Verder geef je het antwoord al in je eigen vraag:

Wat is het probleem voor de thuisgebruiker om oude encryptie te gebruiken op de email?

Wat ooit veilig was, is dat nu niet meer.
Reageer
xxs @Firestorm66630 april 2026 05:32
Beste Tweaker FireStorm666,

Hoe zou jij bij mij, als thuisgebruikende senior, het zwakke protocol willen misbruiken? Graag stap voor stap uitleg hoe JIJ te werk zou gaan.
Reageer
Firestorm666 @xxs1 mei 2026 09:45
Daar gaat het niet om. Waarom zou je in godsnaam een oud protocol persé willen blijven gebruiken als er clients zijn die gewoon nieuwe protocollen gebruiken?

Je klinkt zoals indertijd de beter-wetende gebruiker die "zeker wel weten wat ze doen" en dus geen antivirus nodig hebben... maar wel vrolijk lid waren van een botnet.

Of nog erger: de categorie "ik installeer geen updates" want ik weet het toch weer beter......om vervolgens deel uit te maken van een botnet ;)

Encryptie bestaat zodat iets niet onderschept kan worden. Nee er zal geen malafide iemand speciek jou als doelwit gebruiken, Echter weet je ook data het nieuwe goud is, identiteitsdiefstal heeft wel een grote impact op jou als persoon. Zou toch jammer zijn als iemand jouw identiteit heeft kunnen bemachtigen door een tool die gaat zoeken op onveilige verbindingen. Identiteitsdiefstal kan iedereen overkomen.

Moet je onmiddelijk paniekeren om je eens een update hebt gemist, een programma gebruikt dat niet de allernieuwste versie is, nog op Win10 blijft hangen, of nog een tijd een protocol te blijven gebruiken dat aangekondigd worden om uit te faseren? Uiteraard niet. Maar wellens en wetens iets blijven gebruiken dat sterk verouderd is kwestie beveiliging als er iets nieuwers voorhanden is, is gewoon niet slim.
Reageer
xxs @Firestorm6661 mei 2026 11:57
Bepaal jij voor mij of het daarom gaat of niet?

Lang verhaal maar geen antwoord op mijn vraag dus omdat je zelf ook niet weet hoe jij dit zou kunnen misbruiken.

Ik stel een simpele vraag maar er komt geen antwoord.

Hypothetisch: Ik ben nog telnet gebruiker vanwege een oud remote apparaat wat niet geupdated kan worden. Hoe ga jij dat plain text protocol afluisteren?

[Reactie gewijzigd door xxs op 1 mei 2026 12:10]

Reageer
willyb @Snow_King28 april 2026 18:04
De fall-back bij e-mail is vaak geen encryptie. Laten we hopen dat TLS wel wordt afgedwongen, anders is dit geen verbetering helaas.
Reageer
CAPSLOCK2000
@Snow_King28 april 2026 18:19
Als het echt moet kun je er desnoods zelf een proxy voor zetten die nog TLS1.0 spreekt met zo'n apparaat. Ik raad het niet aan, maar het kan.

Prima stap die IMHO al 10 jaar geleden gemaakt had moeten worden.

Paradoxaal genoeg zijn de mensen/applicaties/apparaten die hier problemen mee hebben ook de groep die het het hardste nodig hebben. Uit zichzelf zullen ze die stap waarschijnlijk niet nemen als ze het nu nog niet hebben gedaan. Het zal hier en daar wel flink pijn doen, maar het moet een keer gebeuren.
Reageer
SuperDre @Snow_King28 april 2026 23:20
Ja, maar probleem is ook dat al veel cyphers van TLS1.2 ook al door menig niet meer geaccepteerd worden, dus het is niet zo simpel als TLS1.2 en het werkt.
Reageer

Om te kunnen reageren moet je ingelogd zijn