Enkel nog sterke versleuteling met TLS 1.2 sinds oktober 2018

Cevi zal vanaf oktober 2018 zijn webtoepassingen alleen nog aanbieden met sterke versleuteling, TLS 1.2. De oudere protocollen zoals SSL, TLS 1.0 en 1.1 zullen niet meer ondersteund worden. Om de continuïteit van browser- en webservicegerelateerde diensten (HTTP / HTTPS) te waarborgen zijn enkele aanpassingen noodzakelijk. Als u die aanpassingen niet uitvoert, zullen toepassingen als WebBv, de e-Loketten … dan niet meer werken!

Meer en meer diensten op het Internet zullen in de nabije toekomst enkel met deze sterke TLS 1.2 versleuteling bruikbaar zijn. Microsoft voorziet dit voor Office 365 vanaf oktober 2018 (zie https://support.microsoft.com/nl-be/help/4057306/preparing-for-tls-1-2-in-office-365).

Welke stappen moet u ondernemen?
Opmerking: enkel de door Microsoft nog ondersteunde besturingssystemen komen in aanmerking; praktisch gaat dat over Windows 7/2008 en hoger.

• Gebruik Windows Update om uw pc’s en servers up to date te houden.
• Zorg dat u de meest recente browserversie geïnstalleerd hebt (Firefox, Chrome, Edge, Safari of Internet Explorer).
• Activeer TLS 1.2 op Windows OS en stel het als standaard in door onderstaande registry-aanpassingen te doen.
• Activeer TLS 1.2 op DotNet applicatieniveau door onderstaande registry-aanpassingen te doen.

Hieronder vindt u de concrete registry aanpassingen. Die laat u best afdwingen door een Group Policy Object (GPO) te creëren voor alle Windows OS pc’s en servers.

TLS 1.2 op Windows OS niveau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001

TLS 1.2 op DotNet applicatieniveau

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
"SystemDefaultTlsVersions"=dword:00000001
"SchUseStrongCrypto"=dword:00000001

Windows 2008 en Windows 2012 servers

Voor Windows 2008 en Windows 2012 servers moet er nog een bijkomende registry aanpassing gebeuren voor winhttp.

Wat moet er nog aangepast worden?

• Controleer eerst de aanbevelingen hierboven.
• Controleer of kb3140245 geïnstalleerd is.
• Controleer de volgende key:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols 

    of op een 64bit machine

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols

  • Bestaat deze key (DWORD) niet, maak deze aan met de waarde 0x00000A00 (tls1.1 en tls1.2) of 0x00000800 (tls1.2).

Herstart daarna de pc of server. Cevi kan u helpen deze stappen uit te voeren. Contacteer ons voor een offerte of meer info over TLS 1.2 via ons algemene contactformulier, via contactcenter@cevi.be of via 09 264 07 01.