Norid forbereder endringer i SSL-konfigurasjonen for alle våre ordinære web-tjenester samt for EPP-tjenesten.
Endringene skyldes endrede anbefalinger, som sier at SSL-protokoller lavere enn TLSv1.2 innebærer en sikkerhetsrisiko og disse bør fases ut i Q1 2020. Utfyllende informasjon finnes ved å lese informasjonen lenket til fra referanser nederst.
Norid følger anbefalingene, og endrer våre tjenester slik at SSL-protokoller lavere enn TLSv1.2 ikke lenger vil bli støttet. På grunn av begrensninger i våre underliggende systemer, vil foreløpig ikke TLSv1.3 bli støttet, dermed er det kun TLSv1.2 som vil bli støttet. Tilhørende endringer i algoritmer (cipher suites) vil også bli utført.
Konfigurasjonen justeres slik at vi følger anbefalingene for Intermediate compatibility som beskrevet for TLSv1.2 på https://wiki.mozilla.org/Security/Server_Side_TLS.
Endringene rulles ut todelt:
-
Ordinære webtjenester: Disse blir endret først. Vi forventer at disse brukes fra moderne nettlesere, som allerede har støttet TLSv1.2 i flere år, og forventer dermed ingen problemer i forbindelse med disse.
- Testsystemet for domeneforhandlere er allerede oppdatert med endringene.
- Produksjonssystemet oppdateres med endringene 2020-02-18, i servicevinduet 08:00-10:00.
-
EPP-tjenesten: Denne oppdateres i eget løp, da vi ser muligheten for at det finnes EPP-programvare hos domeneforhandlerene som behøver tilpasninger i sin SSL-oppkoblingskode. Derfor oppdateres testsystemet med endringene først, og produksjonssystemet oppdateres ca. to måneder senere.
- Testsystemet oppdateres 2020-02-18. Domeneforhandlerene bes deretter om å teste sin EPP-programvare mot testsystemet og sikre at den fungerer.
- Produksjonssystemet oppdateres 2020-04-21, i servicevinduet 08:00-10:00.
Referanser:
https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.html
https://wiki.mozilla.org/Security/Server_Side_TLS
https://ssl-config.mozilla.org
https://www.internet.nl/article/introducing-new-TLS-guidelines