image

HTTPS nog altijd niet wettelijk verplicht voor overheidswebsites

donderdag 18 maart 2021, 14:08 door Redactie, 19 reacties

HTTPS is nog altijd niet wettelijk verplicht voor websites van de overheid, ook al had dit eigenlijk al in 2019 geregeld moeten zijn. Dat heeft demissionair staatssecretaris Knops van Binnenlandse Zaken in een brief aan de Tweede Kamer laten weten. HTTPS zorgt voor een beveiligde verbinding tussen website en bezoeker. Het certificaat dat voor HTTPS wordt gebruikt maakt het daarnaast mogelijk om de website te identificeren.

In 2017 liet Knops aan de Tweede Kamer weten dat om de beveiliging van overheidswebsites verder te bevorderen HTTPS wettelijk verplicht zou worden gesteld. "De Wet Digitale Overheid, die naar verwachting in 2019 van kracht zal worden, biedt de mogelijkheid open standaarden aan te wijzen voor een verplichting bij Algemene Maatregel van Bestuur (AmvB). De AMvB voor HTTPS is naar verwachting per medio 2019 van kracht."

In een vandaag verschenen Kamerbrief over de voortgang van de informatieveiligheid bij de overheid meldt de staatssecretaris dat het wetgevingstraject voor de Wet Digitale Overheid nog niet is afgerond en HTTPS daardoor nog niet wettelijk is verplicht. "Om de beveiliging van overheidswebsites verder te bevorderen, wordt gewerkt aan het verplicht stellen van de open informatieveiligheidsstandaard HTTPS en de complementaire HSTS-standaard voor het beveiligen van de verbinding met overheidswebsites en webapplicaties."

Volgens Knops dragen deze standaarden gezamenlijk bij aan het vertrouwelijk houden van de gegevensuitwisseling met overheidswebsites en -webapplicaties. Om de standaarden te verplichten moet echter wel eerst de Wet Digitale Overheid worden aangenomen. Het wetsvoorstel werd vorig jaar op 18 februari aangenomen door de Tweede Kamer. Nu ligt het voor behandeling bij de Eerste Kamer. Wanneer die over wetsvoorstel zal stemmen is nog onbekend.

Uit cijfers van het Forum Standaardisatie, dat onderzoek doet naar het naleven van informatieveiligheidsstandaarden door de overheid, blijkt dat alle onderzochte overheidsdomeinen inmiddels van HTTPS gebruikmaken en dat het afdwingen van HTTPS steeds beter wordt toegepast door op de juiste manier door te verwijzen en HSTS vaker toe te passen (pdf).

Reacties (19)
18-03-2021, 14:17 door karma4
Alle kranten dienen een waarmerk van de notaris te krijgen omdat er fake news zou kunnen zijn.
18-03-2021, 14:20 door Anoniem
De Tweede Kamer heeft dan wel een controlerende functie, maar men gaat toch niet over dit soort triviale details kamerbrieven sturen?

Wat is de volgende stap? Over Bluetooth of RAID5 debatteren met wat de voordelen en risico's zijn?
18-03-2021, 14:33 door Anoniem
slaat dit op tweakers? Komkommertijd? En hoezoe alleen voor overheidssites of wil men doen geloven dat alle overheidssites niet op HTTPS draaien? Echt gaan we hier ook al deze kant op met dit soort onderbuik berichten, of is de bedoeling om de overheid verder met semi fake berichten semi in zwart daglicht te zetten?
18-03-2021, 15:22 door Anoniem
iemand een url kunnen vinden zonder https van de overheid?
18-03-2021, 15:47 door linuxpro
Het is zo ontzettend moeilijk om dat voor elkaar te krijgen.. pff... ssl offloading kan zo makkelijk zijn.. hoef je aan de websserver e.d. niets te wijzigen. D'r staan in dat soort omgevingen overal loadbalancers voor...
18-03-2021, 16:02 door Anoniem
Door Anoniem: De Tweede Kamer heeft dan wel een controlerende functie, maar men gaat toch niet over dit soort triviale details kamerbrieven sturen?

Wat is de volgende stap? Over Bluetooth of RAID5 debatteren met wat de voordelen en risico's zijn?
Kuch: https://www.security.nl/posting/651711

Door Anoniem: iemand een url kunnen vinden zonder https van de overheid?
https://pulse.openstate.eu/
18-03-2021, 16:19 door allestein - Bijgewerkt: 18-03-2021, 16:20
Verwijderd
18-03-2021, 16:20 door Anoniem
Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
18-03-2021, 17:24 door not me
Ach, wat voor meerwaarde heeft HTTPS nog met de opkomende plannen van Grapperhaus in het vizier..
18-03-2021, 17:33 door Anoniem
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.
18-03-2021, 18:24 door Anoniem
Het heeft onze aandacht, zegt de ambtenaar ambtelijk.
18-03-2021, 18:58 door Anoniem
slaat dit op tweakers? Komkommertijd? En hoezoe alleen voor overheidssites of wil men doen geloven dat alle overheidssites niet op HTTPS draaien? Echt gaan we hier ook al deze kant op met dit soort onderbuik berichten, of is de bedoeling om de overheid verder met semi fake berichten semi in zwart daglicht te zetten?

Gewoon kloppende informatie, en een reactie die nergens op slaat. Dit is nieuws van nu, over de beveiliging van overheidswebsites, op basis van een kamerbrief, van vandaag. Tweakers heeft er niets mee van doen, niet overheids websites ook niet (gaat de overheid niet over).

Je reactie komt uit je eigen onderbuik, en is vrij inhoudsloos.
18-03-2021, 19:42 door Anoniem
Door Anoniem:
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.

Dit is een goed punt dat je hier maakt, integriteit en authenticiteit van de data!
18-03-2021, 19:58 door Anoniem
Door Anoniem:
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.

Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?

Anoniem 16:20
18-03-2021, 22:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.

Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?

Anoniem 16:20

Een aanvaller kan bijvoorbeeld DNS Poisoning doen, waardoor jouw computer een verkeerd ip bij een domeinnaam verkrijgt, en je daardoor een andere webpagina kan voordienen met andere informatie.

Zo zijn er legio van 'hacks' die jouw internet verkeer kunnen manipuleren, om je te beïnvloeden.

Anderzijds, wanneer je ziel zuiver is, ben je immuun voor desinformatie (hoe sterk deze ook is).
18-03-2021, 23:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.

Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?

Anoniem 16:20
Ja echt absoluut puur goud dat iedereen (op de dag van vandaag) NL-Alert kan spoofen en duizende berichten kan uitzenden omdat de telco-security op ze reet ligt kwa niveau. Top voorbeeld man.
19-03-2021, 06:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.

Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?

Anoniem 16:20

Wat dacht je van alle smartphones en tablets, waar totaal geen controle op is en van binnen naar buiten met huis tuin en keuken WiFi verbinding hebben, gammele hotspots onderweg, lekke 4g verbindingen enz...
Een makkie om in no time alles te besmetten en over te nemen.
19-03-2021, 09:30 door Anoniem
Onverstandig en vooral voor de bühne....

Iedereen die een beetje kennis van informatiebeveiliging heeft, weet dat je een risicogerichte aanpak hanteert. Hoewel secure verbindingen zoals https in 99,9% van de gevallen van toegevoegde waarde zijn, moet je je tijd, geld en energie steken in zaken die echt een risico opleveren.

Inmiddels is het informatiebeveiligingsbeleid van de overheid geharmoniseerd in de Baseline Informatiebeveiliging Overheid. Het is veel verstandiger om op een deugdelijke implementatie van deze richtlijnen te sturen dan er één specifiek onderdeeltje uit te pakken en alleen naar dat elementje te kijken. Met een integrale aanpak voorkomen we dat we straks een prima beveiligde frontend (website) hebben en de backend (database) vol met kwetsbaarheden eenvoudig via internet te benaderen is.
19-03-2021, 11:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Niets is zo veilig als een statische website zonder SSL (TLS). Minder updaten, certificaten kunnen niet verlopen, OpenSSL kan niet gehackt worden.
Als het werkt dan werkt het.

Bijvoorbeeld NL-Alert zou perfect zijn als HTTP. Omdat het onder alle omstandigheden moet blijven werken. En als iemand een melding van de site kan afluisteren, mooi, dan kan die persoon zichzelf ook in veiligheid brengen.
TLS zorgt niet alleen voor vertrouwelijkheid maar ook voor integriteit en authenticiteit. Als jij je NL-Alerts over HTTP binnenhaalt kan iemand anders die niet alleen afluisteren, maar ook aanpassen en doen alsof er helemaal geen alert is. Ook een statische website heeft dus TLS nodig, anders heb je geen zekerheid over de informatie die je ontvangt.

Hoe zou een aanvaller dit moeten bewerkstelligen?
Bij e-mail accepteren we ook dat er geen authenticiteit en integriteit is. Waarom voor NL-Alert dan niet?

Anoniem 16:20

Een aanvaller kan bijvoorbeeld DNS Poisoning doen, waardoor jouw computer een verkeerd ip bij een domeinnaam verkrijgt, en je daardoor een andere webpagina kan voordienen met andere informatie.

Zo zijn er legio van 'hacks' die jouw internet verkeer kunnen manipuleren, om je te beïnvloeden.

Anderzijds, wanneer je ziel zuiver is, ben je immuun voor desinformatie (hoe sterk deze ook is).

Is het dan (bij DNS poisoning) niet beter om in te zetten op DNSSEC? In plaats van op HTTPS?

Zelf heb ik met het poortfilter van XS4All de DNS vast gezet op die van de provider. Dat werkte goed tot DoH er kwam, maar dat is een ander probleem.

Anoniem 16:20
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.