Wijzigingen in de beveiliging van het HTG MSA-kanaal - UPDATE

Publicatiedatum 06-03-2025, 10:12

De Douane werkt continu aan het veilig houden van de Handel & Transport Gateway (HTG). Meestal gebeurt dat “achter de schermen”, onzichtbaar voor de bedrijven die HTG gebruiken. De komende tijd worden er wijzigingen aangebracht in de beveiliging van het MSA-kanaal die wel impact kunnen hebben voor de bedrijven. Op het moment van publiceren zijn onderstaande wijzigingen voorzien.

Andere cryptografische algoritmes voor TLS 1.2

Als een verbinding wordt gemaakt met TLS 1.2 (Transport Layer Security versie 1.2) ondersteunt HTG een aantal verschillende cryptografische algoritmes. Deze lijst met ondersteunde algoritmes zal de komende tijd worden aangepast. Er zullen algoritmes worden verwijderd die niet langer als voldoende veilig worden beschouwd door het Nationaal Cyber Security Centrum (NCSC). Ook zullen er enkele veilige algoritmes worden toegevoegd.

Uitschakelen van algoritmes waarvoor het NCSC adviseert om deze niet langer te gebruiken, en het inschakelen van aanvullende veilige algoritmes

Deze wijziging zal plaatsvinden op 8 april 2025 in de BTO/preproductie omgeving en op 20 mei 2025 in productie.

Uitgeschakeld worden:

TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_256_CCM

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_128_CCM

TLS_RSA_WITH_AES_256_CBC_SHA256

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256

Na het inschakelen van enkele aanvullende algoritmes zal het HTG MSA-kanaal voor TLS 1.2 de volgende algoritmes ondersteunen:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_DHE_RSA_WITH_AES_256_CCM

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_CCM

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

Tijdens een steekproef die begin maart 2025 is uitgevoerd zijn geen MSA-accounts in beeld gekomen die mogelijk last kunnen krijgen van het uitschakelen van algoritmes. Honderd procent zekerheid geeft dat niet, want tijdens de steekproef hebben niet alle uitgegeven MSA-accounts verbinding gemaakt met HTG. Er is dus geen 100% zekerheid dat geen enkel MSA-account toch afhankelijk is van het gebruik van een algoritmes dat zal worden uitgeschakeld. Testen van software blijft nodig.

2. Uitschakelen van TLS 1.2, alleen gebruik van TLS 1.3

In 2022 is Transport Layer Security (TLS) versie 1.3 geactiveerd naast versie 1.2 die al sinds de start van HTG wordt gebruikt. De bedoeling was toen ook om het gebruik van versie 1.2 medio 2022 uit te schakelen. Op basis van signalen uit de markt heeft de Douane toen afgezien van het uitschakelen van TLS 1.2, omdat enkele belangrijke platforms TLS 1.3 nog niet ondersteunden.

Inmiddels is er al weer 2,5 jaar verstreken. Beveiliging van het berichtenverkeer is belangrijker dan ooit. Er wordt gewerkt aan de ontwikkeling van quantumcomputers. Een voldoende krachtige quantumcomputer zal in staat zijn om de huidige beveiliging “te kraken”. Daar bereidt de Douane zich op voor. Er zijn nieuwe, quantumveilige algoritmes nodig om deze bedreiging af te wenden. Deze nieuwe algoritmes zullen niet meer beschikbaar komen in TLS 1.2, maar uitsluitend in TLS 1.3.

Om die reden heeft de Douane, in overleg met de andere overheidsorganisaties die HTG gebruiken, besloten om op 12 januari 2026 het gebruik van TLS 1.2 in productie uit te schakelen. Voorafgaand hieraan zal op 1 oktober 2025 in de bedrijven testomgeving (BTO, preproductie) TLS 1.2 worden uitgeschakeld. Dat geeft softwareontwikkelaars de tijd om vast te stellen dat hun software goed overweg kan met TLS 1.3.

Van de MSA accounts die zijn gezien tijdens de steekproef maakt 60% al gebruik van TLS 1.3 (peildatum maart 2025). Voor deze partijen heeft het uitschakelen van TLS 1.2 dus geen invloed. De overige 40% van de aangevers moet dus nog in actie komen om vanaf 12 januari 2026 nog aangifte te kunnen doen via TLS 1.3.

Advies

Het advies aan softwareontwikkelaars is om regelmatig, bijvoorbeeld maandelijks, testberichten uit te wisselen in de BTO/preproductie omgeving. Eventuele problemen in de software door het aanpassen van de set met ondersteunde algoritmes komen dan tijdig aan het licht.