Sla over naar inhoud
Vectel

TLS-versies

Welke TLS-protocolversies je server accepteert.

check: tls.versions10/15

Wat is dit

We checken welke TLS-protocolversies je server accepteert. Modern is TLS 1.2 en 1.3. Oude versies (SSLv3, TLS 1.0, TLS 1.1) hebben bekende kwetsbaarheden en moeten uit.

Waarom belangrijk

Verouderde TLS-versies maken aanvallen als BEAST, POODLE en Lucky13 mogelijk. PCI-DSS verbiedt TLS 1.0 sinds 2018. Een server die nog 1.0 of 1.1 spreekt zakt op compliance-checks.

Hoe los ik dit op

TransIP: Bij Managed Hosting: dien een ticket in om TLS 1.0/1.1 uit te zetten. Bij VPS: edit /etc/nginx/nginx.conf of /etc/apache2/mods-enabled/ssl.conf, zet ssl_protocols TLSv1.2 TLSv1.3;.

CloudFlare: SSL/TLS > Edge Certificates > Minimum TLS Version op TLS 1.2. Schakel TLS 1.3 aan en Opportunistic Encryption.

Strato of Antagonist: Bij gedeelde hosting staan moderne TLS-versies meestal correct. Bij VPS configureer je het zelf in nginx/apache zoals hierboven.

Anders: Volg de Mozilla SSL Configuration Generator voor je server (kies Intermediate of Modern). Restart de webserver, test met SSL Labs.

Verifieren

SSL Labs toont per protocolversie wel/niet ondersteund. Of: nmap --script ssl-enum-ciphers -p 443 jouwdomein.nl.

Bron

Andere checks

SPF-recordVertelt mailservers welke IPs namens jouw domein mogen versturen.DKIM-handtekeningCryptografische handtekening die bewijst dat een mail echt van jouw domein komt.DMARC-beleidVertelt ontvangers wat te doen met mail die SPF en DKIM niet haalt.