HTTPS in 2019 verplicht voor overheidssites
Met de Wet Digitale Overheid die waarschijnlijk volgend jaar van kracht wordt, wil het ministerie van Binnenlandse Zaken beveiligde verbindingen (https) verplicht gaan stellen voor overheidssites. In een brief aan de Tweede Kamer schrijft staatssecretaris Raymond Knops van Binnenlandse Zaken dat https ervoor zorgt dat 'de verbinding en gegevensuitwisseling tussen de bezoeker en de overheidswebsite zijn versleuteld, waardoor het voor kwaadwillenden onmogelijk is deze gegevens te onderscheppen'.
In 2017 werd er door toenmalige minister Ronald Plasterk (Binnenlandse Zaken) ook al over gesproken om https verplicht te stellen voor de overheid. Volgens de planning moet de open informatieveiligheidsstandaard in het tweede kwartaal van 2019 zijn doorgevoerd.
Ook komt er een onderzoek onder burgers en ondernemers of ze willen dat er één domeinnaam voor alle e-mailadressen en websites van de Nederlandse overheid komt. Volgens de staatssecretaris is het nu voor ontvangers van e-mail en bezoekers van websites lastig om te bepalen of een verzender daadwerkelijk namens de overheid e-mailt, en of een website echt van de overheid is. Uiteindelijk moet dit gaan leiden tot een afname van (spear)phishing en spoofing.
Reacties (21)
Niks is "onmogelijk", wel is het goed dat de overheid met de tijd meegaat en ziet dat HTTP echt niet meer kan.
waardoor het voor kwaadwillenden onmogelijk is deze gegevens te onderscheppen
Schrijven ze dat zo, om duidelijk te maken dat de Amerikanen er wel bij kunnen (en delen met de nederlandse overheid)?Het wordt tijd dat we kunnen zeggen
'waardoor het voor iedereen onmogelijk is deze gegevens te onderscheppen'
Wat betekent dit? Zodra er persoonlijke informatie over de lijn moet: Dat lijkt me in de praktijk al verplicht. Beschikbaar hebben? Goed idee. http toegang "verplicht" dichtzetten zodat ook basisinformatie (zeg maar alles wat de overheid publiceert uitgezonderd dat wat onder privacy valt) niet meer onversleuteld beschikbaar is? Niet zo'n goed idee.
Beter idee bij dat laatste geval is om te zorgen dat de informatie breed beschikbaar is ongeacht transport en ongeacht browser. De huidige trend is om doormiddel van "levende standaard"-truukjes iedereen te dwingen altijd de allernieuwste versie van een browser van een grote partij beschikbaar te hebben, maar dat is eigenlijk ontzettend contraproductief als het alleen maar over simpelweg publieke informatie gaat. Waarbij het dan meestal ook nog eens gaat om vooral tekst, dus heel veel lettertjes en weinig anders. Hoezo zou je daar eerst je browser voor moeten upgraden voor je dat mag lezen?
Zorg maar fijn dat het werkt ongeacht browser, zeg. En nee, "kosten" en andere tegenwerpingen zijn geen argument. Of je moet als overheid een gegarandeerd werkend en automatisch bijgewerkt tablet oid gaan uitdelen aan elke burger. Dan is de postbus 51-foldermolen in de bibliotheek ineens zo duur niet meer.
Beter idee bij dat laatste geval is om te zorgen dat de informatie breed beschikbaar is ongeacht transport en ongeacht browser. De huidige trend is om doormiddel van "levende standaard"-truukjes iedereen te dwingen altijd de allernieuwste versie van een browser van een grote partij beschikbaar te hebben, maar dat is eigenlijk ontzettend contraproductief als het alleen maar over simpelweg publieke informatie gaat. Waarbij het dan meestal ook nog eens gaat om vooral tekst, dus heel veel lettertjes en weinig anders. Hoezo zou je daar eerst je browser voor moeten upgraden voor je dat mag lezen?
Zorg maar fijn dat het werkt ongeacht browser, zeg. En nee, "kosten" en andere tegenwerpingen zijn geen argument. Of je moet als overheid een gegarandeerd werkend en automatisch bijgewerkt tablet oid gaan uitdelen aan elke burger. Dan is de postbus 51-foldermolen in de bibliotheek ineens zo duur niet meer.
Door Anoniem: Niks is "onmogelijk", wel is het goed dat de overheid met de tijd meegaat en ziet dat HTTP echt niet meer kan.
Het nog bestaande HTTP van nu is zoals het TELNET van vroeger. Het was al achterhaald toen het protocol ooit in de RFC documentatie werd voorgesteld, want het was van meet af aan een slecht, onveilig ontworpen manier van verbinden.
De ontwikkeling van SSH vaagde het onveilige TELNET in een mum van tijd van de kaart. Het is verbazingwekkend dat nog steeds niet met onveilige HTTP is gebeurd, omdat ook HTTPS inmiddels lang bestaat.
Ik moet het verdwijnen van HTTP bij overheden in 2019 dus nog eerst zien gebeuren.
19-10-2018, 12:28 door
Briolet
Door Anoniem: Niks is "onmogelijk", .
Dat dacht ik ook. Want samen met zo'n certificaat hoort ook de voorlichting dat je kijkt op wiens naam dat certificaat uitgegeven en en of je wel op de echte site zit. Voor een fake site is simpel een slotje te
Gisteren hoorde ik op TV nog de onzin opmerking door Alexander Klöpping dat je een veilige verbinding met je bank hebt, als je een slotje ziet. Van Alexander Klöpping had ik toch meer nuance verwacht. Je moet samen met dat slotje op zijn minst controleren of de url ook klopt.
En zelfs als de url klopt en er een slotje is, dan er een hack geweest zijn op je router waardoor je naar een fake dns server gestuurd wordt. In combinatie met een dubieuze certificaat uitgever kan je dan een slotje op de fake site van je bank zien. De uitgever van het certificaat controleren is verstandig als je 99.999% garantie wilt hebben. (100% bestaat inderdaad niet)
Mensen uit de politiek moeten eigenlijk niet praten over cybersecurity maar gewoon een cyber expert het woord laten doen. De enige die echt verstand van ICT had was IVO Opstelten!
Hij wou corruptie binnen de overheid aanpakken en iemand heeft hem proberen te naaien door anoniem het bonnetje naar nieuwsuur te sturen. Als je het rapport van Commissie Oosting deel2 leest zie je duidelijk dat het bonnetje opgeslagen was in Zoetermeer waar de AIVD op toezicht houdt. Wellicht dat de AIVD zijn plannen wou saboteren.
Opstelten had een geweldige ICT voor Nederland kunnen realiseren en wou de belastingdienst, Justitie allemaal centraliseren samen met de gemeentes (moet je nagaan hoeveel dit jaarlijks zou besparen op de ICT).
Hij wou corruptie binnen de overheid aanpakken en iemand heeft hem proberen te naaien door anoniem het bonnetje naar nieuwsuur te sturen. Als je het rapport van Commissie Oosting deel2 leest zie je duidelijk dat het bonnetje opgeslagen was in Zoetermeer waar de AIVD op toezicht houdt. Wellicht dat de AIVD zijn plannen wou saboteren.
Opstelten had een geweldige ICT voor Nederland kunnen realiseren en wou de belastingdienst, Justitie allemaal centraliseren samen met de gemeentes (moet je nagaan hoeveel dit jaarlijks zou besparen op de ICT).
19-10-2018, 13:20 door
Herman L.T.
Het wordt tijd dat de overheid compleet overgaat op HTTPS. Ik denk alleen dat de beveiliging nog wat te wensen over laat. HTTPS is een goed beging (ook al zijn ze er veel te laat mee), maar als dat het enige is wat ze verplicht gaan stellen is onze data nog steeds niet echt veilig. Ik weet niet of de ICT afdeling van de gemiddelde gemeente opgewassen is tegen de gemiddelde Russische hacker die op je gegevens uit is.
Door Anoniem:
Het nog bestaande HTTP van nu is zoals het TELNET van vroeger. Het was al achterhaald toen het protocol ooit in de RFC documentatie werd voorgesteld, want het was van meet af aan een slecht, onveilig ontworpen manier van verbinden.
De ontwikkeling van SSH vaagde het onveilige TELNET in een mum van tijd van de kaart. Het is verbazingwekkend dat nog steeds niet met onveilige HTTP is gebeurd, omdat ook HTTPS inmiddels lang bestaat.
Ik moet het verdwijnen van HTTP bij overheden in 2019 dus nog eerst zien gebeuren.
ik verbaas me er niet over hoor. SSH enablen is gratis, want het systeem genereert nagenoeg geheel automagisch zijn eigen encryptie sleutels. Zwakheid daarentegen is dan wel dat er dus ook geen andere verificatie plaats vind dan dat je de eerste keer verbinden naar een (nieuwe) key een "herken je deze thumbprint?" melding krijgt. Ik durf te wedden dat >95% van de personen die die melding krijgt geen check doet, maar gewoon op "oh, okay" klikt.Door Anoniem: Niks is "onmogelijk", wel is het goed dat de overheid met de tijd meegaat en ziet dat HTTP echt niet meer kan.
Het nog bestaande HTTP van nu is zoals het TELNET van vroeger. Het was al achterhaald toen het protocol ooit in de RFC documentatie werd voorgesteld, want het was van meet af aan een slecht, onveilig ontworpen manier van verbinden.
De ontwikkeling van SSH vaagde het onveilige TELNET in een mum van tijd van de kaart. Het is verbazingwekkend dat nog steeds niet met onveilige HTTP is gebeurd, omdat ook HTTPS inmiddels lang bestaat.
Ik moet het verdwijnen van HTTP bij overheden in 2019 dus nog eerst zien gebeuren.
HTTPS daar en tegen is volledig afhankelijk van een public key signging infrastructuur. Het is nog niet zo heel lang dat Let's Encrypt beschikbaar is en zelfs dan is het een behoorlijke klus om diens certificaten op alle afhankelijke systemen te implementeren. Dan moet je een tool daarvoor aanschaffen, of heel zelf handig zijn met het aanroepen van de API's, of hopen dat je provider een goede implementatie heeft geknutseld die het voor je doet. Anders is het een betaalde CA die je dat moet aanleveren - minder vaak aanpassen, maar toch bewerkelijk. Komt doorgaans neer op "La La La: Geld". Dat heeft de bulk van het surfend internet er niet voor over.
Neemt natuurlijk niet weg dat Publieke, Semi Publieke en Commercieel/Private partijen http hooguit voor een redirect naar https zouden moeten gebruiken, maar goed, daarmee heb je de thuisgebruiker met zijn "dit is mijn konijntje nijntje pagina" nog niet van http af.
Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Door Anoniem: Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Het is toch wel handig om te zorgen dat die "opendata" niet zo maar vervalst kan worden.
19-10-2018, 16:16 door
Briolet
Door Anoniem: Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Zoek maar eens op "AT&T injecting ads in wifi hotspot", dan zul je zien dat er al lang gebruik gemaakt wordt van methoden om bestaande webpaginas onderweg aan te passen. Vanuit je huis zal dat risico klein zijn, maar buitenshuis weet je nooit zeker of je naar de originele website kijkt als de verbinding http is.
Door Anoniem:
Telnet* was redelijk goed geschikt voor de doeleinden van toen, en niet heel slecht ontworpen. http... eh.Door Anoniem:
Door Anoniem: Niks is "onmogelijk", wel is het goed dat de overheid met de tijd meegaat en ziet dat HTTP echt niet meer kan.
Het nog bestaande HTTP van nu is zoals het TELNET van vroeger. Het was al achterhaald toen het protocol ooit in de RFC documentatie werd voorgesteld, want het was van meet af aan een slecht, onveilig ontworpen manier van verbinden.De ontwikkeling van SSH vaagde het onveilige TELNET in een mum van tijd van de kaart. Het is verbazingwekkend dat nog steeds niet met onveilige HTTP is gebeurd, omdat ook HTTPS inmiddels lang bestaat.
https is precies hetzelfde als http plus een laag encryptie erop geplakt. (Wat overigens met telnet ook heel goed kan, zelfs hier en daar geimplementeerd is, maar omdat "iedereen" wist dat telnet "dus" onveilig moest zijn is dat nooit aangeslagen en is iedereen naar ssh gerend.) En voor heel veel data die over http beschikbaar is, is het extra werk van encryptie en certificaten bijhouden en zo verder eigenlijk verspeelde moeite.HTTPS daar en tegen is volledig afhankelijk van een public key signging infrastructuur.
Een uiterst brakken infrastructuur. Rigide en zwak. Op z'n zachtst gezegd. Zo'n certificaatauthoriteit zal je beschermen tegen iedereen van wie ze geen geld aannemen. De meestgebruikte CAs zijn commercieel.Neemt natuurlijk niet weg dat Publieke, Semi Publieke en Commercieel/Private partijen http hooguit voor een redirect naar https zouden moeten gebruiken, [...]
Dat denk ik niet eigenlijk. De bulk is "toch wel" publieke informatie, dus waarom die moeite doen? Hooguit sluit je er geinteresseerden en mensen die *recht* hebben op toegang tot die informatie ermee uit van die toegang.Als je daar een sterk en steekhoudend argument voor kan neerzetten kun je daarmee je wijsheid tot buiten de kring van "security" --alles moet versleuteld! altijd!-- "professionals" verspreiden.
* Kijk eens naar de data op de bijbehorende RFCs.
20-10-2018, 11:04 door
karma4
in lijn met:
https://www.rijksoverheid.nl/documenten/kamerstukken/2018/10/16/kamerbrief-over-verhogen-informatieveiligheid-bij-de-overheid
Bijvoorbeeld: Je mag een afspraak met de belastingdienst maken over een fiscale kwestie maar die moet schriftelijk gericht afgedaan worden.
Met de open datasets heb je het zelfde, de inhoud is niet gegerandeerd juist, wil je dat wel dan moet je er anders insteken.
https://www.rijksoverheid.nl/documenten/kamerstukken/2018/10/16/kamerbrief-over-verhogen-informatieveiligheid-bij-de-overheid
Door Anoniem: Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Als je niet op de gegevens van overheidswebsites en bijvoorbeeld de beltel antwoorden waarde kunt toekennen maakt dat niets uit. Genoeg uitspraken dat je niet op die informatie mag vertrouwen.Bijvoorbeeld: Je mag een afspraak met de belastingdienst maken over een fiscale kwestie maar die moet schriftelijk gericht afgedaan worden.
Met de open datasets heb je het zelfde, de inhoud is niet gegerandeerd juist, wil je dat wel dan moet je er anders insteken.
Iemand al iets bedacht voor de mogelijkheden van TLS Session resumption tracking - vooral via facebook en Google.
Lees: https://www.theregister.co.uk/2018/10/19/tls_handshake_privacy/
Tor doet er wat mee. Op desktops is het niet zo'n probleem, maar op Androids waar de browser soms extreem lang open blijft staan wel.
Iemand? https://trac.torproject.org/projects/tor/ticket/4099
Bitwiper, ik wacht op een reactie van jou op dit TLS tracking probleem.
Een veiligheidsprotocol dat uitgebuit wordt voor het ad-tracking van eindgebruikers door grote spelers als facebook en vooral Google. Ik voel me weer een beetje "verraden" hier.
Maar ja kunnen ze niet linksom tracken, dan gaat het rechtsom.
Hoe hou je je browser nog een beetje dicht t,a.v. je privacy?
groetjes,
luntrus
Lees: https://www.theregister.co.uk/2018/10/19/tls_handshake_privacy/
Tor doet er wat mee. Op desktops is het niet zo'n probleem, maar op Androids waar de browser soms extreem lang open blijft staan wel.
Iemand? https://trac.torproject.org/projects/tor/ticket/4099
Bitwiper, ik wacht op een reactie van jou op dit TLS tracking probleem.
Een veiligheidsprotocol dat uitgebuit wordt voor het ad-tracking van eindgebruikers door grote spelers als facebook en vooral Google. Ik voel me weer een beetje "verraden" hier.
Maar ja kunnen ze niet linksom tracken, dan gaat het rechtsom.
Hoe hou je je browser nog een beetje dicht t,a.v. je privacy?
groetjes,
luntrus
Door Anoniem:
De overheid zou een eigen "Let's Encrypt" kunnen regelen (is immers opensource) en die min of meer voor alle (ook lokale) overheidsdiensten verplicht stellen (je wilt immers ook niet dat ze van buitenlandse partijen afhankelijk worden).Door Anoniem:
Het is nog niet zo heel lang dat Let's Encrypt beschikbaar is en zelfs dan is het een behoorlijke klus om diens certificaten op alle afhankelijke systemen te implementeren. Door Anoniem: Niks is "onmogelijk", wel is het goed dat de overheid met de tijd meegaat en ziet dat HTTP echt niet meer kan.
Ik moet het verdwijnen van HTTP bij overheden in 2019 dus nog eerst zien gebeuren.Door Anoniem: Mensen uit de politiek moeten eigenlijk niet praten over cybersecurity maar gewoon een cyber expert het woord laten doen.
Dat is ook gevaarlijk, want de politiek en de media weten altijd wel een 'specialist' te vinden die dat eigenlijk niet echt is. Laatst hadden ze ook een paardenmeisje gevonden, dat dacht iets van cyber-security te weten, die hele vreemde dingen beweerde.Door Anoniem: Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Je wilt niet dat die data zomaar onderweg gewijzigd wordt.Door Anoniem: Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Om de integriteit van de data te waarborgen !Door Anoniem:
Door Anoniem: Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?
Om de integriteit van de data te waarborgen !Dat kan ook zonder dure SSL implementaties. Opendata kan je "simpelweg" hashen met een sterke algoritme (bv. SHA512).
@On-topic:
HTTPS is al langer verplicht voor Rijksdiensten (zie: pas-toe-of-leg-uit-lijst), goed dat dit opgenomen wordt in wet en ook gaat gelden voor gemeenten en provincies.
Maar laat men dan ook "TLS session resumption lifetime voor tracking doeleinden beperken tot 10 minuten en niet tot zeven dagen zoals nu het gebruik is. In de tor browser staat het "disabled", maar daar gaat het om anonimiteit en niet over privacy bescherming.
Een goed met IT security omgaande overheid, die haar burgers veilig wil houden in de browser, zou hier toch voor moeten zijn en niet bij voorbaat op de hand van commerciële trackers. Maar dat zal ik wel weer verkeerd hebben gezien, helaas. Zo de waard is vertrouwt ie immers zijn gasten.
luntrus
Een goed met IT security omgaande overheid, die haar burgers veilig wil houden in de browser, zou hier toch voor moeten zijn en niet bij voorbaat op de hand van commerciële trackers. Maar dat zal ik wel weer verkeerd hebben gezien, helaas. Zo de waard is vertrouwt ie immers zijn gasten.
luntrus
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.