OSO:2017/beveiliging/controle procedure: verschil tussen versies

Uit Kennisnet Developers Documentatie
Naar navigatie springen Naar zoeken springen
Regel 6: Regel 6:
 
# Functionele test: werkt de koppeling tussen LAS en TC en tussen LAS en LAS zoals voorgeschreven
 
# Functionele test: werkt de koppeling tussen LAS en TC en tussen LAS en LAS zoals voorgeschreven
 
# Technische test: worden alle beveiligingseisen zoals opgenomen op deze wiki daadwerkelijk correct uitgevoerd
 
# Technische test: worden alle beveiligingseisen zoals opgenomen op deze wiki daadwerkelijk correct uitgevoerd
  +
  +
=== Technische test ===
  +
In hoofdlijnen opgesomd wat er binnen de technische test gecheckt wordt:
  +
# Klopt het server certificaat van het systeem waarop het aanleverpunt wordt aangeboden?
  +
## Is het certificaat nog geldig?
  +
## Komt servername in het certificaat overeen met de domeinnaam in de url?
  +
## Is het certificaat en de certificaatketen te valideren tegen het root CA certificaat?
  +
## Is het certificaat niet ingetrokken (revoked) door de CA?
  +
## Welke hash signatuur wordt er gebruikt?
  +
# Wordt SNI gesupport?
  +
# Wat voor private key wordt er gebruikt en met welke sleutellengte?
  +
# Geeft de server aan in de TLS handshake of deze bepaalde client certificaten verwacht?
  +
# Ondersteunt de server 'secure renegotiation'?
  +
# Ondersteunt de server 'secure client-initiated renegotiation'?
  +
# Ondersteunt de server 'insecure client-initiated renegotiation'?
  +
# Ondersteunt de server OCSP stapling?
  +
# Ondersteunt de server serverside cipher ordering?
  +
# Ondersteunt de server TLS compression?
  +
# Ondersteunt de server session resumption caching?
  +
# Ondersteunt de server session resumption tickets?
  +
# Ondersteunt de server SCSV fallback?
  +
# Ondersteunt de server HSTS?
  +
# Is de server vatbaar voor de CCS vulnerability?
  +
# Is de server vatbaar voor TLS poodle?
  +
# Is de server vatbaar voor Heartbleed?
  +
# Accepteert de server alleen de voor OSO geaccepteerde client certificaten?
  +
## Test met een PKIoverheid certificaat
  +
## Test met een random ander client certificaat verkregen uit een legitieme CA in de markt
  +
## Test met een self-signed certificaat
  +
# Welke TLS/SSL protocollen ondersteunt de server?
  +
# Welke ciphersuites ondersteunt de server?
   
 
[[Categorie:Overstapservice Onderwijs]]
 
[[Categorie:Overstapservice Onderwijs]]

Versie van 16 feb 2017 09:42

Controle procedure naleving beveiligingseisen

De implementatie engineer bij Kennisnet zal naleving van de in het PvE genoemde eisen controleren. Deze controle bestaat uit de jaarlijkse kwalificatie na oplevering van de nieuwe functionaliteiten en eisen, ontwikkeld in het kader van OSO. Daarnaast zal de implementatie engineer periodiek steekproeven houden om de kwaliteit van OSO keten te waarborgen.
Deze tests verlopen middels voorgeschreven scripts, waardoor er een uniforme controle uitgevoerd kan worden.

De testprocedure bestaat uit minimaal een:

  1. Functionele test: werkt de koppeling tussen LAS en TC en tussen LAS en LAS zoals voorgeschreven
  2. Technische test: worden alle beveiligingseisen zoals opgenomen op deze wiki daadwerkelijk correct uitgevoerd

Technische test

In hoofdlijnen opgesomd wat er binnen de technische test gecheckt wordt:

  1. Klopt het server certificaat van het systeem waarop het aanleverpunt wordt aangeboden?
    1. Is het certificaat nog geldig?
    2. Komt servername in het certificaat overeen met de domeinnaam in de url?
    3. Is het certificaat en de certificaatketen te valideren tegen het root CA certificaat?
    4. Is het certificaat niet ingetrokken (revoked) door de CA?
    5. Welke hash signatuur wordt er gebruikt?
  2. Wordt SNI gesupport?
  3. Wat voor private key wordt er gebruikt en met welke sleutellengte?
  4. Geeft de server aan in de TLS handshake of deze bepaalde client certificaten verwacht?
  5. Ondersteunt de server 'secure renegotiation'?
  6. Ondersteunt de server 'secure client-initiated renegotiation'?
  7. Ondersteunt de server 'insecure client-initiated renegotiation'?
  8. Ondersteunt de server OCSP stapling?
  9. Ondersteunt de server serverside cipher ordering?
  10. Ondersteunt de server TLS compression?
  11. Ondersteunt de server session resumption caching?
  12. Ondersteunt de server session resumption tickets?
  13. Ondersteunt de server SCSV fallback?
  14. Ondersteunt de server HSTS?
  15. Is de server vatbaar voor de CCS vulnerability?
  16. Is de server vatbaar voor TLS poodle?
  17. Is de server vatbaar voor Heartbleed?
  18. Accepteert de server alleen de voor OSO geaccepteerde client certificaten?
    1. Test met een PKIoverheid certificaat
    2. Test met een random ander client certificaat verkregen uit een legitieme CA in de markt
    3. Test met een self-signed certificaat
  19. Welke TLS/SSL protocollen ondersteunt de server?
  20. Welke ciphersuites ondersteunt de server?