In juni 2025 publiceerde het NCSC nieuwe beveiligingsrichtlijnen voor TLS. (https://www.ncsc.nl/wat-kun-je-zelf-doen/weerbaarheid/beschermen/transport-layer-security) Deze richtlijnen helpen organisaties om hun TLS-instellingen te optimaliseren en zo veiliger te maken. In dit artikel leg ik uit hoe je deze richtlijnen implementeert in een BIG-IP Client SSL-profiel.
In het document wordt gesproken over 'onvoldoende', 'uit te faseren', 'voldoende' en 'goed'
• Goed: Het label Goed wordt toegekend aan instellingen die gezien worden als het meest veilig en toekomstbestendig.
• Voldoende: Deze instelling biedt voldoende beveiligingswaarde naar huidige inzichten.
• Uit te faseren: Instellingen worden als uit te faseren beschouwd indien de verwachting is dat deze (op termijn) onvoldoende zullen worden, bijvoorbeeld met oog op de doorontwikkeling van aanvalstechnieken. Dergelijke instellingen bieden slechts een geringe veiligheidsmarge. Faseer het gebruik van deze instellingen uit.
• Onvoldoende: Dit zijn instellingen die niet veilig zijn, bijvoorbeeld omdat deze bekende en makkelijk te misbruiken kwetsbaarheden bevatten. Gebruik deze instellingen niet.
Natuurlijk zullen er use cases zijn waar voldoende ook goed is, b.v op het interne netwerk in een afgschermde omgeving.
Het komt er op neer dat voldoende op moment van schrijven van het document goed genoeg is, echter kan dat door allerlei factoren over gaan naar uit te faseren.
Na het analyseren van het document zijn we tot de volgende client ssl profile configuratie gekomen.
Sinds de introductie van TLS1.3 werkt de BIG-IP met cipher rules en group om de juiste cipher configuratie te maken.
Om tot de juiste instellingen te komen maken we een cipher rule aan die we in de group excluden en één die we toestaan (allow)
De exclude rule ziet er als volgt uit:
Cipher Suites:
ECDHE-RSA-AES256-CBC-SHA:ECDHE-RSA-AES128-CBC-SHA:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256
DH Groups:
FFDHE2048:FFDHE4096:FFDHE3072
Signature Algorithms:
RSA-PKCS1-SHA512:RSA-PKCS1-SHA384:RSA-PKCS1-SHA256
In de include rule passen we alleen ciphers suites toe.
Ciphers Suites:
TLS13-AES256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256
In de Ciphers group plaatsen we dan de include-rule on allow en de Exclude group onder Exclude the following from the Allowed List.
Hiermee komen we tot deze waarde voor de toegestane Ciphers, DH Groups en Signature Algorithms:
Cipher Suites
DH Groups
Signature Algorithms
De cipher order zetten we op Strength.
Hiermee komen we op de volgende uitkomst met een SSLLABS test:
Default maakt een client ssl profile op de BIG-IP geen gebruik van SSL compressie voor TLS1.2.
Wel moeten we renegotiation disablen. Hiermee voorkomen we dat de client een renegotionation kan starten.
Onder de opties enablen we single DH use. Don’t insert empty fragments is default enabled maar niet meer echt nodig omdat dit alleen voor SSL 3.0/TLS1.0.
De rest van het profile laten we default.
Best practise is om een parent client ssl profile te maken met bovenstaande settings en deze als parent op alle client ssl profiles voor de websites/services te gebruiken. Enige custom vinkje wat dan wordt gebruikt is Certificate Key Chain. Hiermee kunnen de juiste certificaat, key en chain toegepast worden op het client ssl profile.
Testen en Valideren: Gebruik bijvoorbeeld de SSL Labs-test om je configuratie te controleren. Hiermee zie je direct of je instellingen overeenkomen met de NCSC-adviezen en of er verbeterpunten zijn
Met deze configuratie voldoe je niet alleen aan de nieuwste NCSC-richtlijnen, maar zorg je er ook voor dat je TLS-instellingen toekomstbestendig en veilig zijn. Zo voorkom je bekende kwetsbaarheden en ben je beter beschermd tegen nieuwe aanvalstechnieken.
Wil je na het lezen van diot blog meer weten of heb je hulp nodig om bovenstaande instellingen door te voeren, neem gerust contact met ons op via het contact formulier.