Nieuws
image

HTTPS en HSTS straks wettelijk verplicht voor overheidsorganisaties

vrijdag 14 april 2023, 15:38 door Redactie, 13 reacties

Vorige maand werd de Wet digitale overheid (Wdo) door de Eerste Kamer aangenomen, waardoor de standaarden HTTPS en HSTS straks wettelijk verplicht voor overheidsorganisaties worden. Artikel 3 van deze wet geeft een grondslag voor het verplichten van open standaarden. Volgens het Forum Standaardisatie zijn HTTPS en HSTS grote kanshebbers om als eerste via artikel 3 van de Wdo verplicht te worden.

Al begin 2017 liet de minister van Binnenlandse Zaken weten dat HTTPS voor alle overheidssites verplicht zou worden. Naast HTTPS voor een beveiligde verbinding was het plan om ook HSTS te verplichten. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er door de gebruiker HTTP in de adresbalk ingevoerd. In 2019 kwam het kabinet vervolgens met een internetconsultatie over de verplichting.

Tijdens de aanschaf van ict-systemen en -diensten moeten overheidsorganisaties de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie raadplegen, en de standaarden die van toepassing zijn, gebruiken. Tenzij ze een zwaarwegende reden hebben om dat niet te doen. Het ‘Pas toe of leg uit’-beleid biedt ruimte aan publieke organisaties en overheidsorganisaties om in hun eigen tempo open standaarden te implementeren. Voor sommige standaarden gaat dat te langzaam, blijkt uit metingen die Forum Standaardisatie uitvoert (pdf). De wettelijke verplichting die nu kan worden doorgevoerd moet ervoor zorgen dat ook achterblijvende overheidsorganisaties in beweging komen.

Reacties (13)
14-04-2023, 15:49 door Anoniem
Het is van de zotte dat er nog steeds sites uberhaubt bereikbaar zijn zonder https.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
14-04-2023, 16:37 door Anoniem
Had al lang gebeurd moeten zijn. :/
Daar gaat alles toch zo traag...
14-04-2023, 16:51 door Briolet
Heel leuk om te zeggen dat je de HSTS standaard moet gebruiken, maar de standaard geeft alleen aan dat je een "max-age" directive moet meegeven, maar niet welke waarde deze moet hebben. De RFC geeft alleen een voorbeeld waar deze waarde 1 jaar is.

Bij de webserver op mijn synology nas wordt bij HSTS standaard 6 maand aangehouden en dat is niet door gebruikers aan te passen. Als ik deze websites test via 'internet.nl" geeft deze site aan dat de instelling fout is en dat deze minimaal 1 jaar moet zijn. (dit komt gewoon uit de lucht vallen en ik kan geen onderbouwing vinden) In de overheidsstandaard kan ik nergens vinden wat de overheid als minimum moet gaan gebruiken.
14-04-2023, 19:26 door Erik van Straten - Bijgewerkt: 14-04-2023, 19:59
Op die internetconsultatie heb ik een bloedserieuze en m.i. goed onderbouwde reactie gegeven over belangrijke aandachtspunten voor HSTS (zoals eerder aangekaart door Bitwiper in https://www.security.nl/posting/566101/NL%3A+veel+brakke+https+sites).

Nooit meer iets van gehoord en ik kan ook nergens iets van mijn adviezen terugvinden. Fijne club die internetconsultatie - heel veel diepe laden.

Als ik binnenkort tijd overheb heb zal ik Bitwiper's tests eens herhalen voor een reeks overheidswebsites.

Aanvulling 19:59: onderaan https://security.nl/posting/566328:
16-06-2018, 23:34 door Bitwiper - Bijgewerkt: 16-06-2018, 23:42: [...]
4) Hoofddomeinen met GEHEEL GEEN ondersteuning voor https, noch voor HSTS (alleen http dus)
Overheidwebsites: https://uwv.nl/: "Unable to connect"
Winkels: https://cena.nl/: "Unable to connect"
[...]
Zojuist:
https://uwv.nl/: "Unable to connect" (145.222.216.135:443 - connection refused) - ongewijzigd!

https://cena.nl/: certificaatfoutmelding: self signed voor CN=dummy.canda.com en geen subjectAltName voor "cena.nl". Na accepteren certificaat natuurlijk geen HSTS header (want dat zou een volgend bezoek van https://cena.nl/ blokkeren).

Ik verwacht niet veel verbeteringen...
15-04-2023, 01:25 door Anoniem
Door Anoniem: Het is van de zotte dat er nog steeds sites uberhaubt bereikbaar zijn zonder https.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/

Hoi, Sicco hier van Open State Foundation. Het heeft inderdaad heel lang geduurd voor deze wet er was. Vanaf 2016/2017 hebben we met onze scans dit onder de aandacht gebracht. Op zich zag je toen al dar het gebruik van HTTPS/HSTS snel toenam. We voeren onze Pulse scans niet meer uit want https://basisbeveiliging.nl/ doet dit inmiddels stukken beter. Daar zie je dat goede configuratie en volledige adoptie van veilige verbindingen nog een heel eind moet komen.
15-04-2023, 14:07 door Anoniem
Door Anoniem: Het is van de zotte dat er nog steeds sites uberhaubt bereikbaar zijn zonder https.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/

Nergens voor nodig, alleen afhankelijk van de data die er overheen gaat.
15-04-2023, 14:45 door Anoniem
Door Anoniem: Het is van de zotte dat er nog steeds sites uberhaubt bereikbaar zijn zonder https.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Hoezo? Als de site alleen een paar "text" pagina's bevat, Waarom dan https?
15-04-2023, 20:07 door Anoniem
Door Anoniem:
Door Anoniem: Het is van de zotte dat er nog steeds sites uberhaubt bereikbaar zijn zonder https.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Hoezo? Als de site alleen een paar "text" pagina's bevat, Waarom dan https?
Waarvoor uitzonderingen?
16-04-2023, 11:16 door Anoniem
Ook hier iets mee doen?
https://www.infoq.com/news/2018/07/eich-crockford-js-future/
#webproxy
16-04-2023, 15:01 door Anoniem
Door Anoniem:Hoezo? Als de site alleen een paar "text" pagina's bevat, Waarom dan https?
Omdat, als je die site via een open wifi-accesspoint bezoekt, een kwaadwillende dan malware kan injecteren in de site... https is niet alleen om te zorgen dat content encrypted is, ook om te zorgen dat content onderweg niet aangepast wordt...
17-04-2023, 08:24 door Anoniem
Door Anoniem:
Door Anoniem:Hoezo? Als de site alleen een paar "text" pagina's bevat, Waarom dan https?
Omdat, als je die site via een open wifi-accesspoint bezoekt, een kwaadwillende dan malware kan injecteren in de site... https is niet alleen om te zorgen dat content encrypted is, ook om te zorgen dat content onderweg niet aangepast wordt...
Maar ondertussen moeten op last van de EUSSR browser-makers wel een nergens gecontroleerd root certificate implementeren. Zodat de EUSSR onderweg het verkeer kan aanpassen. En de browser daar niet over zeurt.

Al met al dus een volkomen wassen neus.
17-04-2023, 14:53 door Briolet - Bijgewerkt: 17-04-2023, 14:54
Door Anoniem:Maar ondertussen moeten op last van de EUSSR browser-makers wel een nergens gecontroleerd root certificate implementeren.

Dat geldt voor al je root certificaten. Daarvan moet je zelf de betrouwbaarheid vaststellen. Of je moet er op vertrouwen dat de browsermakers of de OS beheerder deze controle uitvoeren. (Afhankelijk van het OS kan het zijn dat de browser geen eigen roots beheert, maar dit aan het OS overlaat.)

En als je een root desondanks niet vertrouwd, kun je hem ook zelf als onbetrouwbaar markeren.
19-04-2023, 20:46 door Anoniem
https is geen beveiliging het is antispy , nu er zijn veel idioten die denken dat hun site veilig is als hij https heeft en dan vallidatie niet meer hoeft wat nog altijd noodzakelijk is.
Ook deze site gaat geen enkele tegenkanting van echte spybedrijven doen. https is niets waard als je google facebook of wat dan ook implementeert dus ga even in een ander hoek pissen het stinkt hier al genoeg.

Hier is maar één woord geldig hun eigen mening
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search