Wijzigingen in de beveiliging van het HTG MSA-kanaal - UPDATE

Publicatiedatum 13-11-2025, 14:12

De Douane werkt continu aan het veilig houden van de Handel & Transport Gateway (HTG). Meestal gebeurt dat “achter de schermen”, onzichtbaar voor de bedrijven die HTG gebruiken. De komende tijd wordt er een wijziging aangebracht in de beveiliging van het MSA-kanaal die wel impact kan hebben voor de bedrijven.

Uitschakelen van TLS 1.2, alleen gebruik van TLS 1.3

In 2022 is Transport Layer Security (TLS) versie 1.3 geactiveerd naast versie 1.2 die al sinds de start van HTG wordt gebruikt. De bedoeling was toen ook om het gebruik van versie 1.2 medio 2022 uit te schakelen. Op basis van signalen uit de markt heeft de Douane toen afgezien van het uitschakelen van TLS 1.2, omdat enkele belangrijke platforms TLS 1.3 nog niet ondersteunden.

Inmiddels is er alweer 3,5 jaar verstreken. Beveiliging van het berichtenverkeer is belangrijker dan ooit. Er wordt gewerkt aan de ontwikkeling van quantumcomputers. Een voldoende krachtige quantumcomputer zal in staat zijn om de huidige beveiliging “te kraken”. Daar bereidt de Douane zich op voor. Er zijn nieuwe, quantumveilige algoritmes nodig om deze bedreiging af te wenden. Deze nieuwe algoritmes zullen niet meer beschikbaar komen in TLS 1.2, maar uitsluitend in TLS 1.3.

Om die reden heeft de Douane, in overleg met de andere overheidsorganisaties die HTG gebruiken, besloten om op 12 januari 2026 het gebruik van TLS 1.2 in productie uit te schakelen. Voorafgaand hieraan is op 1 oktober 2025 in de bedrijven testomgeving (BTO, preproductie) TLS 1.2 al uitgeschakeld. Dat geeft softwareontwikkelaars de tijd om vast te stellen dat hun software goed overweg kan met TLS 1.3.

Van de MSA-accounts die zijn gezien tijdens een steekproef die medio november 2025 is uitgevoerd, maakte 82% gebruik van TLS 1.3. Voor deze partijen heeft het uitschakelen van TLS 1.2 dus geen invloed. De overige 18% van de aangevers moeten nu met spoed  in actie komen om vanaf 12 januari 2026 nog aangifte te kunnen doen via TLS 1.3. Deze aangevers zijn al benaderd door de Douane, mits ze zijn gezien tijdens de steekproef. Accounts die niet actief zijn tijdens de steekproef ziet de Douane niet, dus daarvan kan de TLS versie ook niet worden onderzocht of gecommuniceerd met deze aangever. Deze publicatie is mede bedoeld om deze doelgroep alsnog te bereiken.

Advies

Het advies aan softwareontwikkelaars is om regelmatig, bijvoorbeeld maandelijks, testberichten uit te wisselen in de BTO/preproductie omgeving. Eventuele problemen in de software door het aanpassen van de set met ondersteunde algoritmes komen dan tijdig aan het licht. Voor aangevers is het advies om met spoed in actie te komen als hun softwareomgeving TLS 1.3 nog niet, of niet volledig, ondersteund.