Main content

Het beveiligingsniveau van de netwerkverbindingen voor DigiD wordt verhoogd. Vanaf 8 juni 2020 is communicatie met DigiD alleen nog toegestaan op basis van protocol TLS 1.2. Oudere TLS-versies worden uitgefaseerd.

Voorbereidingen voor u of uw leverancier

Om ervoor te zorgen dat gebruikers kunnen blijven inloggen op uw website via DigiD, is het van belang dat uw aansluiting gereed is voor TLS 1.2. Wij adviseren u tijdig te inventariseren welke acties aan uw kant nodig zijn om het gebruik van verouderde versie uit te faseren.

Maandag 18 mei na 18.00 uur wordt de TLS-wijziging naar de prepoductieomgeving gebracht. Om ervoor te zorgen dat gebruikers kunnen blijven inloggen op uw website via DigiD, is het van belang dat u uw aansluiting na het onderhoud op preproductie zo spoedig mogelijk test. Ook als u geen wijzigingen door heeft moeten voeren, adviseren wij u om uw aansluiting alsnog te testen.

Als uw aansluiting na het onderhoud op preproductie niet werkt, verzoeken wij u dit uiterlijk 1 juni aan ons terug te koppelen zodat wij u tijdig ondersteuning kunnen bieden. U kunt dit melden via het contactformulier.

Waarom TLS 1.0 uitfaseren?

Het NCSC adviseert oudere TLS versies uit te faseren. Apple, Google, Microsoft en Mozilla hebben aangekondigd ondersteuning in hun respectieve browsers begin 2020 te beëindigen. Om die reden wordt het gebruik van oudere TLS versies ook door DigiD uitgefaseerd.

Overzicht cipher suits

Om zo breed mogelijke ondersteuning te bieden wordt er in tegenstelling tot eerdere berichtgeving nu geen wijziging doorgevoerd in de TLS cipher suites. Dit betekent dat na uitrol van de TLS-wijziging de volgende cipher suites ondersteund blijven (op volgorde van sterkte/preferentie):

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA

Op een later moment zullen de cipher suites die door het NCSC zijn aangemerkt als “uit te faseren” (alle die beginnen met TLS_RSA) ook door DigiD uitgefaseerd worden. Hierover zal apart gecommuniceerd worden.