Transport Layer Security
Het DSGO maakt gebruik van Transport Layer Security (TLS) om authenticatie op transport niveau en de vertrouwelijkheid van informatie van communicatie over HTTP te waarborgen. Wanneer HTTP communicatie beveiligd is volgens het TLS protocol is sprake van HTTPS (HypterText Transfer Protocol Secure). Hiermee is het afsprakenstelsel in lijn met de API strategie voor de Nederlandse Overheid, het iSHARE (v2.0) en het Centre of Excellence for Data Sharing and Cloud (CoE-DSC) Use Case Implementation Guide die gebaseerd zijn op deze zelfde standaarden.
Bron: API strategie voor de Nederlandse Overheid - API Beveiliging
API's zijn vanaf elke locatie vanaf het internet te benaderen. Om uitgewisselde informatie af te schermen wordt altijd gebruik gemaakt van een versleutelde verbinding op basis van TLS. Geen uitzonderingen, dus overal en altijd.
De recentste en wenselijke versie van TLS is v1.3, en is beschreven in RFC 8446. TLS v1.2 is een vaak voorkomende implementatie van TLS, en is beschreven in RFC 5246. Om interoperabiliteit tussen systemen te garanderen kan in het DSGO altijd worden teruggevallen op TLS v1.2.
DSGO.Basis
: Partijen MOETEN API endpoints beveiligen met minimaal TLS v1.2
DSGO.Basis
: Partijen ZOUDEN API endpoints MOETEN beveiligen met TLS v1.3
TLS Certificaten
Het afsprakenstelsel maakt gebruik van QWACs (Qualified Website Authentication Certificates) in TLS om de identiteit van webservers te authenticeren en de vertrouwelijkheid, integriteit en authenticiteit van communicatie tussen partijen mogelijk te maken. QWACs worden in lijn met de eIDAS regulering uitgegeven door gekwalificeerde vertrouwensdienstverleners op de List of Trusted Lists (LOTL).