Grunnleggende datakommunikasjon

Bruksområdet gjelder protokoller for grunnleggende datakommunikasjon.

Krav til bruk av standarder

Offentlige virksomheter bør ha støtte for alle standardene innenfor dette bruksområdet. Andre standarder kan støttes i tillegg. Her er de anbefalte kravene til standarder innenfor dette bruksområdet:

Sikker datakommunikasjon fra offentlige nettsteder

Det anbefales at offentlige kommunikasjonstjenester har støtte for HTTP over TLS [RFC 2818] ved bruk av protokollene HTTP/1.1 [RFC 7230] og TLS 1.2 [RFC 5246].

HTTP/1.1 er en grunnleggende protokoll for overføring av informasjon på web. Støtte for denne protokollen er en forutsetning for å lage nettjenester for brukere. Denne protokollen bør settes opp med bruk av TLS, vanligvis omtalt som HTTPS, slik at informasjonen overføres gjennom en sikker forbindelse.

Støtte for betyr at virksomheten skal kunne ha en mulighet for å bruke protokollen HTTP, ikke at dere alltid skal benytte HTTP. Andre protokoller kan benyttes/brukes der dere ønsker eller har behov for det.

Krav til bruk av standarder

RFC 7230 – Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing (Juni 2014)

RFC 2818 – HTTP Over TLS (Mai 2000)

RFC 5246 – The Transport Layer Security (TLS) Protocol – Version 1.2 (August 2008)

Disse standardene revideres enkeltvis av IETF og Difi vil oppdatere anbefalingen med gjeldende versjon av hver standard når dette skjer, Dersom en revisjon medfører større endringer vil Difi vurdere behovet for å revidere hele anbefalingen. Revisjoner som medfører større endringer vil behandles av Standardiseringsrådet.

Transportsikring av e-post mellom e-post servere

Det anbefales å benytte SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207) i opportunistisk modus for transportsikring av e-post mellom e-post servere, både ved sending av e-post til offentlige virksomheter og ved sending av e-post til innbyggere og næringsliv.

Dette gjelder e-post utveksling som går over Internett (SMTP), og ikke annen meldingsutveksling som skal foregå ved hjelp av løsning for utveksling av meldinger mellom offentlige virksomheter.

Protokoller for kommunikasjon på internett

IPv4 [RFC 791] og IPv6 er grunnleggende protokoller for kommunikasjon på internett. Alt IT-utstyr som det offentlige anskaffer bør ha støtte for IPv4 og IPv6. Dette gjelder både programvare og maskinvare.

Alle nye offentlige nettsider og elektroniske tjenester bør ha støtte for IPv4 og IPv6, og være i stand til å kommunisere over begge typer nettverk. Hvis nettsiden eller tjenestene inkluderer eller er avhengig av nettverksparametere som en del av sin operasjon, bør løsningen ha støtte for konfigurasjon av IPv6 parametere. 

IT-tjenester som det offentlige kjøper bør ha støtte for IPv4 og IPv6. Løsningene bør ikke ha store funksjonelle forskjeller på grunn av bruk av IPv4 eller IPv6. Brukerne av løsningen bør heller ikke oppleve store forskjeller ved bruk av de ulike protokollene.

IPv4 [RFC 791] og IPv6 er grunnleggende protokoller for kommunikasjon på internett. Det er viktig å ha støtte for begge disse protokollene fremover. Det er dessuten viktig å ikke se bruk av IP isolert, men vurdere alle tilhørende protokoller som støtter bruk av IP. Spesielt protokollene TCP og UDP.

Protokoll for filoverføring

Offentlige kommunikasjonstjenester bør ha støtte for FTP [RFC 959]. FTP er en protokoll for filoverføring. Den er i utstrakt bruk, men har begrensninger når det gjelder sikkerhet.

Kravet betyr kun at virksomheten din skal ha en mulighet til å ta imot filer ved hjelp av FTP. Dere må ikke bruke FTP, men kan velge andre overføringsmetoder for batch-filer hvis dere ønsker/har behov for dette. FTP bør brukes over en sikker kommunikasjonskanal.

Protokoller for å styre trafikken i nettverk basert på IP

Alle offentlige kommunikasjonstjenester bør ha støtte for TCP [RFC 793].

Dette er en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til TCP. Det er viktig at disse protokollene sees på som en helhet.

Alle offentlige kommunikasjonstjenester bør ha støtte for UDP [RFC 768].

Dette er en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til UDP. Det er viktig at disse protokollene sees på som en helhet.

Når gjelder kravene fra?

Kravene er gjeldende. Innført 2001.

Anbefalingen om Dual stack IPv4 og IPv6 ble innført 30.10.2012.

Anbefalingen om transportsikring av e-post mellom e-postservere ble innført 1.12.2016.

Anbefalingen om Sikker datakommunikasjon fra offentlige nettsteder ble innført 12.09.2017.

Hvordan tilfredsstille kravene?

Veileder Sikker datakommunikasjon fra offentlige nettsteder

Nettsted som brukes av virksomheter i offentlig sektor bør etablere en teknisk løsning som bruker HTTP over TLS for alle deler av nettstedet.

Nasjonal sikkerhetsmyndighet (NSM) har utarbeidet en veiledning for å etablere HTTP over TLS:

«Hypertext Transport Protocol Secure – Hvordan autentisere nettsteder og konfidensialitets- og integritetsbeskytte webtrafikk»

IT-veiledning for ugraderte systemer nr. 15 (U-15)

Veilederen forvaltes av Nasjonal sikkerhetsmyndighet og gir en sikkerhetsfaglig vurdering av hvordan HTTPS bør implementeres. For at kommunikasjonen skal sikres i nødvendig og tilstrekkelig grad, er det viktig at standardene implementeres korrekt. Veilederen NSM forvalter omhandler implementasjon av HTTP over TLS. Difi anbefaler at NSMs veileder «HTTP over TLS» følges så langt det er hensiktsmessig og ikke i konflikt med annet regelverk for å ivareta sikker implementasjon og vurdering av kompenserende tiltak for kjente sårbarheter.

Relevante standarder

  • IPv4 og IPv6 
  • RFC 7230 – Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing (Juni 2014)
  • RFC 2818 – HTTP Over TLS (Mai 2000)
  • RFC 5246 – The Transport Layer Security (TLS) Protocol – Version 1.2 (August 2008)
  • SMTP Service Extension for Secure SMTP over Transport Layer Security (RFC 3207)
  • RFC 6066 – Transport Layer Security (TLS) Extensions: Extension Definitions (2011)
  • RFC 6797 – HTTP Strict Transport Security (HSTS) (2012)
  • RFC 6960 – X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP (2013)
  • RFC 7469 – Public Key Pinning Extension for HTTP (2015)
  • TCP
  • FTP
  • UDP
Publisert: 23. nov 2015, Sist endret: 19. okt 2017

Deldette

Fant du det du lette etter?

* er obligatoriske felter som du må fylle ut for å sende skjemaet. Hvis du har et spørsmål du ønsker svar på, vennligst se www.difi.no/om-difi/kontakt-oss

Fant du det du lette etter?
*