Beheer: Add updated TLS Security Regulations (#16)

Author: Nil-NMB01

02_documentbeheer.md

@@ -8,3 +8,4 @@
 | 01/09/2020 | 1.3    | Logius | PKIO Private Root certificaten toegevoegd                      |
 | 01/02/2021 | 1.4    | Logius | Alleen PKIO Private Root toegestaan. Verwijzing naar meest recente versie van [[NCSC 2021]]. Vorige versie was [[?NCSC 2019]]|
 | 15/05/2025 | 2.0    | Logius | Uitfasering 3DES|
+| 24/06/2025 | 2.0.1    | Logius | Aanpassing n.a.v. NCSC TLS 2025 Richtlijnen. Verwijzing naar meest recente versie van [[NCSC 2025]]. Vorige versie was [[NCSC 2021]]|

ch04_TLS .md

@@ -6,8 +6,8 @@ Transport Layer Security (TLS) is een protocol dat een veilige versleutelde verb
 
 | Standaarden | Status | Bron |
 | --- | --- | --- |
-| TLS 1.2 [[rfc5246]]  | Verplicht  | [[NCSC 2021]]  |
-| TLS 1.3 [[rfc8446]]  | Optioneel  | [[NCSC 2021]]  |
+| TLS 1.2 [[rfc5246]]  | Verplicht  | [[NCSC 2025]]  |
+| TLS 1.3 [[rfc8446]]  | Optioneel  | [[NCSC 2025]]  |
 | HTTP over TLS Transport Layer Security<br>([[rfc2818]], [[rfc5785]], [[rfc7230]]) | Informational |  IETF [[rfc5322]]|
 
 ## Digikoppeling voorschriften
@@ -17,12 +17,10 @@ Transport Layer Security (TLS) is een protocol dat een veilige versleutelde verb
 | TLS001 | Authenticatie is verplicht met TLS en PKIoverheid certificaten | |
 | TLS002 | Tweezijdig TLS is verplicht | Digikoppeling schrijft het gebruik van twee-zijdig TLS voor en verplicht dit voor alle vormen van berichtuitwisseling via Digikoppeling. |
 | TLS003 | De TLS implementatie mag niet op SSL v3 en eerdere versies terugvallen | Backward compatibility mode voor SSL v3 en eerdere versies dient te worden uitgezet. |
-| TLS004 | Een Serviceaanbieder is <span class="underline">verplicht</span> TLS versie 1.2 te ondersteunen, daarnaast is het <span class="underline">aanbevolen</span> voor een Serviceaanbieder om TLS versie 1.3 te ondersteunen.  Als een Serviceaanbieder TLS versie 1.3 aanbiedt dan is het aanbevolen voor Serviceafnemers om TLS 1.3 te gebruiken | NCSC geeft aan: “De beste bescherming wordt momenteel geboden door de meest recente TLS versie: TLS 1.3” Zie [[NCSC 2021]]           |
+| TLS004 | Een Serviceaanbieder is <span class="underline">verplicht</span> TLS versie 1.2 te ondersteunen, daarnaast is het <span class="underline">aanbevolen</span> voor een Serviceaanbieder om TLS versie 1.3 te ondersteunen.  Als een Serviceaanbieder TLS versie 1.3 aanbiedt dan is het aanbevolen voor Serviceafnemers om TLS 1.3 te gebruiken | NCSC geeft aan: “Configureer het gebruik van TLS 1.2 ter ondersteuning van oudere clients, maar geef de voorkeur aan TLS 1.3 waar mogelijk [6]. Andere versies zijn niet veilig in het gebruik.” Zie [[NCSC 2025]]|
 ||TLS 1.0 en TLS 1.1 zijn niet meer toegestaan|Niet meer toegestaan binnen de Digikoppeling standaard vanaf 10-9-2016 |
 | TLS005 | Het is verplicht voor communicatie over HTTPS port 443 te gebruiken | Port 443 is de standaard poort voor HTTPS verkeer |
-| TLS006 | Het is verplicht te voldoen aan de NCSC ICT-beveiligingsrichtlijnen voor TLS | Zie H3 van [[NCSC 2021]] (*) |
-
-(*) Zie https://www.ncsc.nl/documenten/publicaties/2023/september/18/maak-je-organisatie-quantumveilig voor specifieke adviezen NCSC/AIVD t.a.v. Post Quantum Cryptografie
+| TLS006 | Het is verplicht te voldoen aan de NCSC ICT-beveiligingsrichtlijnen voor TLS | Zie [[NCSC 2025]]|
 
 ## Onderbouwing
 
@@ -32,5 +30,5 @@ In Digikoppeling is ervoor gekozen om PKIoverheid certificaten te gebruiken op h
 
 ## Overwegingen 
 
-Het NCSC adviseert om TLS altijd te configureren op basis van [[NCSC 2021]] voor Transport Layer Security.
+Het NCSC adviseert om TLS altijd te configureren op basis van [[NCSC 2025]] voor Transport Layer Security.
 

ch05_Cipher suites voor TLS, signing en encryptie .md

@@ -4,24 +4,24 @@
 
 | Nr | Voorschrift | Toelichting |
 | --- | --- | --- |
-| TLSCIPH001 |  De gebruikte TLS cryptografische algoritmen moeten de NCSC classificatie ‘voldoende’ of ‘goed’ hebben. TLS-cryptografische algoritmen die de NCSC-classificatie ‘uit te faseren’ hebben, zijn sinds 1 januari 2021 niet meer toegestaan.  |   Zie  [[NCSC 2021]]  |
+| TLSCIPH001 |  De gebruikte TLS cryptografische algoritmen moeten de NCSC classificatie ‘voldoende’ of ‘goed’ hebben. TLS-cryptografische algoritmen die de NCSC-classificatie ‘uit te faseren’ hebben, zijn sinds 1 januari 2021 niet meer toegestaan.  |   Zie  [[NCSC 2025]]  |
 
 ## XML Signing
 
 ### Digikoppeling voorschriften voor XML signing
 
 | Nr | Voorschrift | Toelichting |
 | --- | --- | --- |
-| SIGN001 | Signing met SHA-2 is verplicht. | Minimaal SHA-224 of SHA-256. |
+| SIGN001 | Signing met SHA-2 is verplicht. | Minimaal SHA 224 of SHA-256. |
 | SIGN002 | Signing conform XMLDSIG is verplicht | Zie de koppelvlakstandaarden signed profielen |
 | SIGN003 | Het DigestMethod Algorithm moet gebruik maken van een van de volgende algoritmen: SHA-224, SHA-256, SHA-384, SHA-512 [[xmlenc-core]], [[[FIPS-180-4]]]| Zie ook [https://www.w3.org/TR/xmldsig-core1/\#sec-DigestMethod](https://www.w3.org/TR/xmldsig-core1/#sec-DigestMethod) [[xmldsig-core1]] |
-| SIGN004 | Het SignatureMethod Algorithm kan gebruik maken van een van de volgende algoritmen: [SHA-224]  [SHA-256] [SHA-384] [SHA-512]  |  Zie ook [https://www.w3.org/TR/xmldsig-core1/\#sec-DigestMethod](https://www.w3.org/TR/xmldsig-core1/#sec-DigestMethod) voor voorbeelden|
+| SIGN004 | Het SignatureMethod Algorithm kan gebruik maken van een van de volgende algoritmen: [SHA-224] [SHA-256] [SHA-384] [SHA-512]  |  Zie ook [https://www.w3.org/TR/xmldsig-core1/\#sec-DigestMethod](https://www.w3.org/TR/xmldsig-core1/#sec-DigestMethod) voor voorbeelden|
 
 ### Reden voor vervanging SHA-1 door SHA-2
 
 *Certificaten met SHA-1 als hashfunctie worden vervangen door certificaten met hashfuncties uit de SHA-2-familie: SHA-256, SHA-384 en SHA-512. Certificaten met MD5 als hashfunctie zijn enkele jaren geleden al vervangen. MD5 is de voorloper van SHA-1. [[HTTPS-factsheet NCSC]]*
 
-PKIoverheid stelt SHA-2 als eis. Alle certificaten die onder de root Staat der Nederlanden worden uitgegeven moeten voldoen aan SHA-2. In [[NCSC 2021]] wordt SHA-1 nog wel als ‘voldoende’ bestempeld voor hashing binnen een applicatie, maar voor signing is het onvoldoende.
+PKIoverheid stelt SHA-2 als eis. Alle certificaten die onder de root Staat der Nederlanden worden uitgegeven moeten voldoen aan SHA-2. 
 
 In plaats daarvan is het dus wenselijk om gebruik te maken van een algoritme dat als ‘goed’ is aangemerkt, dus:
 

js/config.js

@@ -13,18 +13,16 @@ var respecConfig = {
         "url" : "https://logius.nl/standaarden"
       },
       { 
-        "company" : "Logius",
-        "companyURL" : "https://logius.nl/standaarden",
-        "mailto" : "[email protected]",
-        "name" : "Pieter Hering"
+        "name" : "Nil Barua",
+        "url" : "https://logius.nl/standaarden"
       }
     ],
   github: "https://github.com/Logius-standaarden/Digikoppeling-Beveiligingsstandaarden-en-voorschriften",
-  previousPublishDate: "2021-02-01",
-  previousPublishVersion: "1.4.1",
+  previousPublishDate: "2025-05-15",
+  previousPublishVersion: "2.0.0",
   pubDomain: "dk",
-  publishDate: "2025-05-15",
-  publishVersion: "2.0.0",
+  publishDate: "2025-06-24",
+  publishVersion: "2.0.1",
   shortName: "beveilig",
   specStatus: "DEF",
   specType: "ST"