Norid forbereder endringer i SSL-konfigurasjonen for alle våre ordinære web-tjenester samt for EPP-tjenesten.

Endringene skyldes endrede anbefalinger, som sier at SSL-protokoller lavere enn TLSv1.2 innebærer en sikkerhetsrisiko og disse bør fases ut i Q1 2020. Utfyllende informasjon finnes ved å lese informasjonen lenket til fra referanser nederst.

Norid følger anbefalingene, og endrer våre tjenester slik at SSL-protokoller lavere enn TLSv1.2 ikke lenger vil bli støttet. På grunn av begrensninger i våre underliggende systemer, vil foreløpig ikke TLSv1.3 bli støttet, dermed er det kun TLSv1.2 som vil bli støttet. Tilhørende endringer i algoritmer (cipher suites) vil også bli utført.

Konfigurasjonen justeres slik at vi følger anbefalingene for Intermediate compatibility som beskrevet for TLSv1.2 på https://wiki.mozilla.org/Security/Server_Side_TLS.

Endringene rulles ut todelt:

  • Ordinære webtjenester: Disse blir endret først. Vi forventer at disse brukes fra moderne nettlesere, som allerede har støttet TLSv1.2 i flere år, og forventer dermed ingen problemer i forbindelse med disse.

    • Testsystemet for domeneforhandlere er allerede oppdatert med endringene.
    • Produksjonssystemet oppdateres med endringene 2020-02-18, i servicevinduet 08:00-10:00.
  • EPP-tjenesten: Denne oppdateres i eget løp, da vi ser muligheten for at det finnes EPP-programvare hos domeneforhandlerene som behøver tilpasninger i sin SSL-oppkoblingskode. Derfor oppdateres testsystemet med endringene først, og produksjonssystemet oppdateres ca. to måneder senere.

    • Testsystemet oppdateres 2020-02-18. Domeneforhandlerene bes deretter om å teste sin EPP-programvare mot testsystemet og sikre at den fungerer.
    • Produksjonssystemet oppdateres 2020-04-21, i servicevinduet 08:00-10:00.

Referanser:

https://cheatsheetseries.owasp.org/cheatsheets/Transport_Layer_Protection_Cheat_Sheet.html

https://wiki.mozilla.org/Security/Server_Side_TLS

https://ssl-config.mozilla.org

https://www.internet.nl/article/introducing-new-TLS-guidelines

https://english.ncsc.nl/publications/publications/2019/juni/01/it-security-guidelines-for-transport-layer-security-tls

Publisert: 12. februar 2020
Sist oppdatert: 21. august 2020