Van Logius, de beheerder van Digipoort, ontvingen wij het volgende bericht:
Definitieve aankondiging: Logius zet onveilige ciphersuites uit op Digipoort
Geachte heer, mevrouw,
Logius zal uit veiligheidsoverwegingen een aantal TLS ciphersuites op de Digipoort uitzetten. Dit geldt zowel voor WUS, ebMS en FTP. Dit betekent dat u na dit moment niet langer gegevens kunt aanleveren via Digipoort als u uitsluitend gebruik maakt van oude en niet meer veilige TLS ciphersuites.
Zorg dat u ciphersuites gebruikt die van toepassing blijven. Welke dat zijn kunt u hieronder zien.
Planning voor uitzetten TLS ciphersuites:
• Productie: 7 september 2021
Deze ciphersuites zullen worden uitgezet:
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Deze ciphersuites blijven van toepassing:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_ SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA
Foutmeldingen bij niet ondersteunen van de juiste ciphersuites
Er zijn veel verschillende foutmeldingen die zich kunnen voordoen zodra Digipoort benaderd wordt met ciphersuites die niet meer worden ondersteund. De generieke foutmelding die hieraan gerelateerd is, is een SSL/TLS-fout: “SSL handshake failed”.
Met vriendelijke groet,
Logius
Wat betekent dit nu voor u?
De keuze voor welke ciphersuite er wordt gebruikt en welke ciphersuites er aanwezig zijn hangt af van de versie van Windows.
Het is in theorie mogelijk om oude versies van Windows te voorzien van nieuwe ciphersuites, maar het upgraden van Windows is makkelijker en waarschijnlijk ook goedkoper.
Wij weten niet zeker of Windows 7 / 8 echt geen geschikte ciphersuites heeft. In ieder geval dient men TLS 1.2 te gebruiken. Maar aan te raden is het verzenden met ECM (naar Digipoort) op een computer met Windows 10 te doen. So wie so raden wij aan om met de nieuwste versie van de Windows software te werken.
Indien dit niet het geval is loopt u het risico dat u na 7 september geen aangiften, aanvragen toeslagen, ICP opgaven, enz. kunt indienen via Digipoort bij de Belastingdienst.
Zie ook:
https://docs.microsoft.com/en-us/windows/win32/secauthn/cipher-suites-in-schannel
Nextens in de cloud
In de cloud spelen deze problemen voor u niet; misschien is dit wel het moment om over te stappen naar onze cloud software? Bedenk ook dat de toekomst van Nextens cloudgericht is en de desktop een levenseinde kent.