KVS:Technische Documentatie OSO Validatie/beveiliging
Beveiliging
OSO certificaat
Het KVS vereist het gebruik van X.509 certificaten voor het gebruik in TLS ten behoeve van:
- authenticatie van de server;
- middels het zogenoemde servercertificaat. Dit bevat metadata waarmee de betreffende server uniek geïdentificeerd kan worden. Bijv. domeinnaam, organisatie van de eigenaar.
- versleuteling van de verbinding tussen client en server.
TLS 1.2 protocol
Het gebruik van TLS 1.2 maakt het mogelijk gebruik te maken van sterke versleutelingsprotocollen. Om OSO uitwisselingen zo veilig mogelijk te maken worden de volgende voorwaarden gesteld:
- Het is alleen toegestaan cipher suites met een versleutelingssterkte van 128bit of hoger te gebruiken;
- De cipher suite AES GCM wordt als geprefereerde suite gehanteerd;
- Forward Secrecy dient ondersteund en geprefereerd te worden;
- De server bepaalt de cipher suite selectie;
- Cipher suites als Anonymous, NULL, export, RC4, etc. zijn, met name maar niet uitsluitend, niet toegestaan.
Om de beveiligde technische transport laag waarvoor TLS wordt ingezet goed te laten functioneren moeten er een aantal zaken geregeld worden. Deze hebben betrekking op zowel de verzendende kant als de ontvangende kant. Zo zullen de volgende zaken op zijn minst geregeld moeten zijn:
- Er is zowel een geldig OSO-certificaat aanwezig op de client;
- De juiste protocollen zijn geconfigureerd;
- De juiste ciphers suites zijn geconfigureerd;
- De OSO-certificaten worden bij elke nieuwe communicatiesessie gevalideerd tegen het betreffende root CA certificaat;
- Private keys zijn veilig opgeslagen en niet vanuit de (web)applicatie via het internet of anderszins ongeautoriseerd te benaderen;
- Communicatie is end-to-end versleuteld zonder herversleuteling, packet inspection of wordt onversleuteld verzonden binnen een private netwerk.
Om een basis veiligheidsniveau te kunnen garanderen binnen de OSO keten dient elke webserver die gebruik maakt van een PTS-certificaat, getest te worden middels de Qualys SSL Labs Server Test . Dit is een onafhankelijke test welke de TLS implementatie van een webserver test. Het basis niveau waaraan elke webserver binnen de OSO keten dient te voldoen is A-. Het signature algoritm van het PTS-certificaat moet bij elke nieuwe uitgifte of vernieuwing voorzien worden van minimaal sha256 met RSA encryption. Sha1 wordt binnen niet onafzienbare tijd uitgefaseerd door grote softwarebouwers wegens inmiddels jaren bekende zwakheden. Sha256 is hier wel tegen bestand. Voor het OSO-certificaat wordt dit reeds door de backoffice gerealiseerd. Nadat zowel server als client elkaar vertrouwen is het van belang om de juiste versleutelingsprotocollen voor de communicatie sessie te hanteren. Het gebruik van TLS 1.2 maakt het mogelijk gebruik te maken van sterke versleutelingsprotocollen. Om OSO uitwisselingen zo veilig mogelijk te maken worden de volgende voorwaarden gesteld:
- Het is alleen toegestaan cipher suites met een versleutelingssterkte van 128bit of hoger te gebruiken;
- De cipher suite AES GCM wordt als geprefereerde suite gehanteerd;
- Forward Secrecy dient ondersteund en geprefereerd te worden;
- De server bepaalt de cipher suite selectie;
- Cipher suites als Anonymous, NULL, export, RC4, etc. zijn, met name maar niet uitsluitend, niet toegestaan.