Chrome en Firefox tonen de TLS versie
Jan Vlastuin

Het heeft een paar jaar geduurd, maar er is een nieuw protocol voor versleuteling van het internetverkeer. TLS 1.3, zoals de nieuwe standaard heet, is bedacht in 2014, en sinds 28 augustus een officiële standaard. Als eerste grote hostingprovider in Nederland gaat Vevida op 13 december 2018 het nieuwe TLS 1.3 uitrollen op ons hostingplatform. Dat ging echter niet zonder slag of stoot.

Wat is TLS eigenlijk?

TLS staat voor Transport Layer Security, en is de opvolger van het welbekende SSL. De originele SSL-protocollen zitten vol veiligheidsproblemen, en worden in de praktijk al jaren niet meer gebruikt. Wat wij in het dagelijks gebruik SSL noemen, is eigenlijk TLS. De bedoeling van TLS is om het transport van al je internetverkeer te versleutelen. Het wordt bijvoorbeeld gebruikt voor websites, e-mail en nog een hele reeks andere internettechnologieën. Versleutelen betekent vooral dat het niet mogelijk is om onderweg communicatie af te luisteren of te veranderen. Slechts de verzender en de ontvanger weten wat er is gecommuniceerd. Het zogeheten SSL-certificaat is het meest zichtbare deel van TLS.

Wat doet TLS 1.3 dan anders?

TLS 1.3 is in de eerste plaats sneller dan TLS 1.2. Om een versleutelde verbinding op te bouwen is het noodzakelijk om het een en ander aan informatie uit te wisselen vooraf. Dit is de zogenaamde TLS-handshake. Door een wijziging in de manier waarop deze handshake werkt, gaat dit nu aanzienlijk sneller. Dat is merkbaar in de laadtijd van je website. Sterker nog, als je een website voor een tweede of volgende keer bezoekt, kan TLS 1.3 de verbinding zelfs nog sneller opzetten door gebruik te maken van ‘zero round trip (0-RTT)’. Ook dit zorgt er weer voor dat je website sneller zichtbaar wordt.

Daarnaast is TLS 1.3 aanzienlijk veiliger. Vorige versies van TLS, met name TLS 1.2, zijn op zichzelf nog steeds veilig, maar kunnen worden gebruikt met verouderde of zelfs antieke versleutelingsmechanismen. De browser kan in eerdere versies van TLS om een verouderd versleutelingsmechanisme vragen, bijvoorbeeld omdat die browser geen nieuwere mechanismen kent. Als je nu op een of andere manier het gebruik van zo’n zwakke methode kan forceren, is het eenvoudig geworden om de communicatie af te luisteren. TLS 1.3 maakt daar rigoureus een eind aan. Alle oude versleutelingsmechanismen zijn geschrapt, en worden niet meer ondersteund. Oudere browsers hebben dus simpelweg pech gehad. Het is tijd om te upgraden naar een moderne of liefst nog de nieuwste browserversies.

TLS 1.3 bij Vevida

Op 28 augustus 2018 was daar dan eindelijk de lang-verwachte specificatie van TLS 1.3, in de vorm van RFC 8446. In de jaren voorafgaand aan de vaststelling van de specificatie waren er al langere tijd concept-standaarden. Hierdoor was het voor een aantal bedrijven en ontwikkelaars mogelijk om alvast te werken aan de implementatie van de standaard. Echter, een definitieve standaard kan pas worden geïmplementeerd zodra deze bekend is. Dus na augustus 2018 waren de ontwikkelaars aan zet. Er moest nog een behoorlijk aantal puzzelstukjes worden bijgewerkt om TLS 1.3 daadwerkelijk te gebruiken.

Het belangrijkste puzzelstukje voor Vevida is OpenSSL. Dit is een bibliotheek van versleutelingsmechanismen in het Linux besturingssysteem. Echter, in het door ons gebruikte CentOS besturingssysteem was dit niet direct voorhanden. We hebben OpenSSL dus zelf gebouwd zodra op 15 september 2018 de definitieve versie beschikbaar werd. Vervolgens waren in oktober 2018 de meeste grote browsers zover. Vanaf Firefox 63 en Chrome 70 is TLS 1.3 ondersteuning standaard actief in deze browsers. Het duurde echter tot 8 november voordat het derde puzzelstukje, de Apache webserver, klaar was voor TLS 1.3. Omdat wij zelf al onze Apache software bouwen, was het vervolgens eenvoudig om alle delen samen te voegen en beschikbaar te maken voor tests. Op 15 november werkten de eerste websites, en op 28 november ontvingen we het eerste mailtje via TLS 1.3.

Natuurlijk proberen we alles eerst zelf uit. Daarom hebben wij onze eigen website in een vroeg stadium voorzien van TLS 1.3. (Je kan dit controleren door met je (moderne) browser naar onze website te gaan en daar via de Developer Tools de security status te bekijken van de website). En nu zijn we als eerste hostingprovider in Nederland zover om tijdens het maandelijkse onderhoud van december TLS 1.3 ook beschikbaar te maken voor onze klanten!

Wat moeten onze klanten doen?

Helemaal niks. Alle websites op ons Linux platform gaan automatisch gebruik maken van TLS 1.3. Natuurlijk heeft je website wel minimaal het pakket Veilige Hosting nodig, want anders heb je helemaal geen versleuteling. Er is maar 1 uitzondering, en dat betreft websites in het Windows platform van Vevida. Helaas is Microsoft nog niet zover met de implementatie van TLS 1.3, dus daar is het nog even afwachten. Mocht je dat jammer vinden, overweeg dan om je website naar ons Linux platform te laten verplaatsen. Onze klantenservice kan eenvoudig beoordelen of dat mogelijk is, en het zelfs direct met je regelen.

Jan Vlastuin
Jan Vlastuin CEO

Met deskundige ondersteuning, slimme producten en plezierige prijzen maakt Vevida de complexe technologie van het internet op een veilige manier toegankelijk. Jan Vlastuin heeft als CEO van Vevida de focus op hostingproducten die bijdragen aan een bruikbaar en veilig internet voor iedereen.