Uitzoeken welke TLS-versies zijn ingeschakeld op Windows Server kan een lastige klus zijn, vooral omdat je daarvoor in het register moet graven. Het is op het eerste gezicht niet echt duidelijk, en soms worden updates of configuraties niet duidelijk weergegeven in de GUI. Als je vreemde SSL-fouten hebt opgemerkt of gewoon de beveiligingsnaleving wilt controleren, helpt dit proces je om precies te bevestigen welke TLS-versies actief zijn – gissen is niet nodig. Let op: rommelen met het register is niet voor bangeriken, dus maak een back-up als je van plan bent wijzigingen aan te brengen. Maar om in ieder geval te *controleren* wat er is ingeschakeld, is vrij eenvoudig als je eenmaal weet waar je moet zoeken. Door dit te doen, kun je ervoor zorgen dat je server de nieuwste protocollen ondersteunt, of oudere, kwetsbare protocollen uitschakelen. Kortom, het houdt je communicatie een stuk veiliger en compatibeler met nieuwere clients. Bovendien weigeren sommige apps of clients mogelijk verbinding te maken als ze TLS 1.2 of 1.3 nodig hebben, maar dit niet is ingeschakeld. Dus weten wat wat is, kan je op den duur veel frustratie besparen. Want Windows moet het natuurlijk iets ingewikkelder maken dan alleen in de instellingen kijken – het zit allemaal in het register, verborgen onder specifieke sleutels. Dus, hier is hoe je de laatste informatie over jouw TLS-versies kunt vinden zonder je verstand te verliezen.
Hoe u de TLS-versie op Windows Server kunt controleren
Controle 1: Open het register veilig
Eerst moet je het register openen. Klik Win + Rop Uitvoeren om het dialoogvenster Uitvoeren te openen. Typ regediten druk op Enter. Daarmee start je de Register-editor, maar pas op: dit kan je systeem in de war brengen als je te gek doet met bewerken. Voor de controle is het prima, maar als je besluit om te wijzigen, maak dan eerst een back-up. Je kunt het volledige register exporteren via Bestand > Exporteren voor de zekerheid.
Controle 2: Navigeer naar het protocolregisterpad
Ga in de Register-editor naar dit pad: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\SCHANNEL\\Protocols. Want ja, het pad is lang en bevat veel backslashes en hoofdlettergebruik. Als je een andere taalversie of een licht aangepaste configuratie gebruikt, kan het iets afwijken, maar de meeste standaard Windows Server-versies volgen dit pad.
Controle 3: Controleer de TLS-mappen
Zoek binnen die Protocols-sleutel naar mappen met de naam “TLS 1.0”, “TLS 1.1”, “TLS 1.2” of “TLS 1.3”.Als deze mappen er niet zijn, kan dit betekenen dat deze protocollen niet geïnstalleerd of ondersteund zijn, met name TLS 1.3, dat nieuwer is en mogelijk specifieke updates of Windows-versies vereist. Soms zijn oudere mappen zoals TLS 1.0 helemaal niet aanwezig of gewoon uitgeschakeld.
Controle 4: Controleer de ingeschakelde DWORD-waarde
Klik op een specifieke versiemap en kijk of er een DWORD-waarde ‘Ingeschakeld’ in staat. Als u ziet 0x00000001 (1), is die versie zeker ingeschakeld. Als deze ontbreekt of ‘Ingeschakeld’ is ingesteld op 0x00000000 (0), is deze uitgeschakeld. In sommige configuraties worden deze waarden mogelijk niet weergegeven, tenzij u functies handmatig hebt ingeschakeld. U moet ze dus mogelijk zelf toevoegen als u de ondersteuning later wilt in- of uitschakelen.
Het is een beetje vreemd, maar op sommige servers zijn de registervermeldingen wel aanwezig, maar niet actief. Dit is dus jouw manier om te zien wat *echt* is ingeschakeld. Hierna weet je met welke TLS-versies je server daadwerkelijk SSL kan communiceren.
Tips om uw TLS-instellingen gezond te houden
- Maak altijd een back-up voordat u iets verandert, want Windows maakt het u natuurlijk graag moeilijker dan nodig is.
- Als u een oude versie van TLS tegenkomt, zoals 1.0 of 1.1, overweeg dan om deze uit te schakelen als u deze niet meer nodig hebt. Deze versies zijn op dit moment namelijk behoorlijk onveilig.
- Gebruik PowerShell als u dit proces wilt automatiseren. Met scripts kunt u snel versies scannen of wisselen zonder dat u daarvoor regedit hoeft door te spitten.
- Controleer regelmatig of uw server de nieuwste TLS-ondersteuning heeft en zorg dat deze up-to-date is. Het is makkelijk om te vergeten, maar verouderde protocollen vormen een beveiligingslek.
- Lees meer over de SCHANNEL-instellingen als u meer gedetailleerde controle wilt. Soms zijn registeraanpassingen niet voldoende en komen groepsbeleid of beveiligingsconfiguraties in beeld.
Veelgestelde vragen
Wat is TLS eigenlijk?
Het is het encryptieprotocol dat ervoor zorgt dat uw gegevens privé blijven tijdens de overdracht. U kunt het zien als een veilige verbinding tussen websites, apps en servers.
Waarom zou je de TLS-versies controleren?
Omdat verouderde versies kwetsbaar zijn en u wilt dat uw server de nieuwste standaarden ondersteunt, vooral als u gevoelige informatie verwerkt of aan de regelgeving wilt blijven voldoen.
Kan ik een TLS-versie inschakelen die ik als uitgeschakeld zie?
Ja. Verander gewoon de DWORD-waarde “Enabled” naar 1. Maar maak voor de zekerheid eerst een back-up. Sommige versies vereisen mogelijk ook dat je de server of in ieder geval de SCHANNEL-service opnieuw opstart voordat de wijzigingen van kracht worden.
Hoe vaak moet ik dit controleren?
Elke paar maanden of na grote updates, vooral als u vreemde SSL-fouten of problemen met de clientverbinding opmerkt.
Wat als ik het register verpest?
Back-ups zijn je vriend. Het terugzetten van een registerback-up is meestal eenvoudig, maar een foutje kan leiden tot systeeminstabiliteit. Dus neem de tijd.
Samenvatting
- Open Run ( Win + R), typ
regedit. - Navigeer naar HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
- Zoek naar de mappen TLS 1.0, 1.1, 1.2, 1.3.
- Controleer het DWORD ‘Ingeschakeld’ in elke map.
Afronding
De TLS-ondersteuning van je server in de gaten houden is eerlijk gezegd niet zo ingewikkeld als je eenmaal weet waar je moet zoeken – en het is de moeite waard, vooral met alle kwetsbaarheden die er zijn. Het is een van die dingen die je gemakkelijk over het hoofd ziet totdat er iets kapotgaat of een beveiligingsaudit het aan het licht brengt. Kennis van de registerpaden en waar je op moet controleren, maakt het minder mysterieus, ook al is het in het begin wat lastig om te navigeren. Deze methode is niet perfect, maar het is snel voor een handmatige controle en een goede eerste stap om ervoor te zorgen dat je server niet kwetsbaar is. Hopelijk bespaart dit iemand later hoofdpijn.