Skip to main content
Skip table of contents

Eisen Netwerkbeveiliging

#

Omschrijving

Domein

Opmerking

5.010

Om zich te kunnen authentiseren, kunnen alle systemen betrokken bij transacties in het kader van Twiin een geldig PKI-certificaat overleggen.

 

Een geldig PKI-certificaat is een UZI-servercertifcaat of een PKIoverheid-certficaat.

5.020

Alle transacties in het kader van Twiin zijn beveiligd met Mutual Transport Layer Security (mTLS).

 

 

5.030

Er wordt door GtK-clients enkel gebruik gemaakt van TLS 1.3 en -algoritmen die zijn geclassificeerd als "goed" in de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS), versie 2.1 van het NCSC:

  • AES_256_GCM

  • CHACHA20-POLY1305

  • AES_128_GCM

 

Het is verplicht om alle algoritmen aan te bieden die in de genoemde richtlijnen als "goed" zijn geclassificeerd. Hiermee beperk je het risico dat wanneer een algoritme in veiligheidsniveau daalt er alternatieven overblijven van niveau goed.

Het is voor een GtK-server niet verboden om ook andere algoritmen en TLS-versies aan te bieden. De rationale hierachter is dat hard- en software waar de GtK-server gebruik van maakt ook voor andere use-cases buiten het Twiin Afsprakenstelsel ingezet kan worden.

De GtK-client authenticatie vindt ook nog plaats met de client assertion.

5.040

Transacties in het kader van Twiin worden versleuteld volgens TLS, zoals bedoeld in eis 5.020.

 

 

5.050

Voordat daadwerkelijk transport plaats vindt, controleren de Nodes de geldigheid van elkaars certificaten door middel van CRL of OCSP.

 

 

5.060

Systemen die de geldigheid van het UZI-servercertficaat van de andere Systemen dienen te controleren, voldoen aan de verplichting van het Certification Practice Statement (CPS) UZI-register

 

Zie https://www.zorgcsp.nl/certification-practice-statement-cps , artikel 4.5.2

5.070

Systemen die de geldigheid van het PKIo-servercertficaat van de andere Systemen dienen te controleren, doen dit door middel van de meest recent gepubliceerde Certificaten Revocatie Lijst (CRL) of via het Online Certificate Status Protocol (OCSP), minimaal ieder uur.

 

Zie https://cps.pkioverheid.nl/pkioverheid-cps-unified-v5.4.html , paragraaf 2.2.

5.080

GtK zijn in hun rol als DNS Server of cliënt daarvan, ervoor verantwoordelijk dat de name records behorende bij de hostnames van GtK’en zijn ondertekend volgens DNSSEC.

(proudly copied from MedMij (core.dns.300))

Met DNSSEC kan de ontvanger de echtheid van de domeinnaaminformatie (waaronder IP-adressen) controleren. Dit
voorkomt bijvoorbeeld dat een aanvaller het IP-adres ongemerkt manipuleert (DNS-spoofing) en daarmee verkeer omleidt naar een eigen server.

5.090

Elke GtK, in zijn rol als DNS resolver in het Domain Name System, controleert of de ontvangen name records zijn voorzien van ondertekening volgens DNSSEC en valideert deze volgens DNSSEC. Indien deze controle en validatie niet beide slagen, ziet hij af van verbinding met de betreffende hostname.

(proudly copied from MedMij (core.dns.301))

Het gebruik van DNSSEC vermindert de kwetsbaarheid van het Domain Name System voor bijvoorbeeld DNS spoofing.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close