Overheidswebsites en webapplicaties moeten voortaan verplicht van HTTPS en HSTS gebruikmaken. De Wet digitale overheid (Wdo) die deze eisen stelt is gisteren in werking getreden. Al begin 2017 liet de minister van Binnenlandse Zaken weten dat HTTPS voor alle overheidssites verplicht zou worden. Naast HTTPS voor een beveiligde verbinding was het plan om ook HSTS te verplichten.

HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er door de gebruiker HTTP in de adresbalk ingevoerd. In 2019 kwam het kabinet vervolgens met een internetconsultatie over de verplichting. Tijdens de aanschaf van ict-systemen en -diensten moeten overheidsorganisaties de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie raadplegen, en de standaarden die van toepassing zijn, gebruiken. Tenzij ze een zwaarwegende reden hebben om dat niet te doen.

Het ‘Pas toe of leg uit’-beleid biedt ruimte aan publieke organisaties en overheidsorganisaties om in hun eigen tempo open standaarden te implementeren. Voor sommige standaarden gaat dat te langzaam, blijkt uit metingen die Forum Standaardisatie uitvoert (pdf). De Wdo moet ervoor zorgen dat ook achterblijvende overheidsorganisaties als het om HSTS en HTTPS gaat in beweging komen. Daarnaast moet de HTTPS-configuratie voldoen aan de TLS-richtlijnen en Webapplicatie-richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Het Forum Standaardisatie organiseert aanstaande woensdag 5 juli voor overheidsinstanties een "open spreekuur" over het verplicht toepassen van HTTPS en HSTS.