Uitfaseren TLS 1.0 DigiD

Het beveiligingsniveau van de netwerkverbindingen voor DigiD wordt verhoogd. Vanaf mei 2020 is communicatie met DigiD alleen nog toegestaan op basis van protocol TLS 1.2. Oudere TLS-versies worden uitgefaseerd.

Naast het uitfaseren van de oude TLS-versies worden ook de cipher suites geconfigureerd conform de TLS-richtlijnen van het NCSC. Dit betekent dat er aantal cipher suites niet langer worden ondersteund. Er worden ook cipher suites toegevoegd om een zo breed mogelijke ondersteuning te bieden.

Voorbereidingen voor u of uw leverancier

Om ervoor te zorgen dat gebruikers kunnen blijven inloggen op uw website via DigiD, is het van belang dat uw aansluiting gereed is voor TLS 1.2 en de wijzigingen van de cipher suites. Wij adviseren u tijdig te inventariseren welke acties aan uw kant nodig zijn om het gebruik van verouderde versie uit te faseren.

De wijziging wordt na de release van 11 mei zo snel mogelijk doorgevoerd op preproductie zodat u uw aansluiting kunt testen. De verwachting is dat de wijziging tijdens het onderhoud van 8 juni wordt uitgerold naar productie. Hierover wordt u op een ander moment geïnformeerd.

Waarom TLS 1.0 uitfaseren?

Het NCSC adviseert oudere TLS versies uit te faseren. Apple, Google, Microsoft en Mozilla hebben aangekondigd ondersteuning in hun respectieve browsers begin 2020 te beëindigen. Om die reden wordt het gebruik van oudere TLS versies ook door DigiD uitgefaseerd.

Overzicht cipher suits

De volgende cipher suites worden uitgefaseerd:

• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA

De volgende cipher suites worden toegevoegd:

• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA