image

Onderzoek: 81% overheidssites gebruikt geen HTTPS

maandag 13 april 2015, 17:13 door Redactie, 10 reacties

Maar liefst 81% van de overheidssites gebruikt geen HTTPS voor de verbinding tussen bezoekers en websites, zo hebben onderzoekers van de Open State Foundation vastgesteld. De stichting analyseerde iets meer dan tweeduizend overheidssites en ontdekte dat het HTTPS-protocol op slechts 19% van de websites werd gebruikt. Met behulp van een SSL-certificaat en het HTTPS-protocol zijn browsers en servers in staat informatie die verstuurd moet worden te versleutelen en bij aankomst weer te ontsleutelen.

Naast het versleutelen van het verkeer, wat afluisteren en manipulatie tegen moet gaan, helpt het gebruik van een SSL-certificaat ook bij het identificeren van websites. Van de 2.093 onderzochte websites bleek dat 413 websites een versleutelde HTTPS-verbinding ondersteunen en bij slechts 120 (5%) overheidssites wordt HTTPS geforceerd en het webverkeer van en naar de website altijd versleuteld. Slechts 119 overheidssites gebruiken HSTS, een techniek die browsers opdraagt een website voortaan alleen via HTTPS te bezoeken.

De onderzoekers stellen dat er geen logische reden te ontdekken was waarom het ene domein wel en het andere domein niet via HTTPS verloopt. Zo maken de websites van de Algemene Inlichtingen en Veiligheidsdienst, de Nationaal Coördinator Terrorismebestrijding en Veiligheid en het Nationaal Cyber Security Centrum wel altijd gebruik van het HTTPS-protocol, maar doen de websites van de Belastingdienst, de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten en het Agentschap Telecom dat niet voor al het webverkeer naar deze websites.

"Op websites van de overheid vindt veel uitwisseling van gegevens plaats maar HTTPS beschermt niet alleen informatie die naar de overheid wordt gezonden maar beschermt ook de vertrouwelijkheid wat mensen lezen. Van websites van de overheid verwachten burgers dat ze veilig en betrouwbaar zijn en dat privacy wordt beschermd", zo stelt de Open State Foundation. Volgens de stichting is het lage aantal overheidssites dat het HTTPS-protocol gebruikt opmerkelijk, omdat juist het Nationaal Cyber Security Centrum adviseert om alle websites die gevoelige gegevens verwerken te beschermen met HTTPS.

Reacties (10)
13-04-2015, 19:21 door Anoniem
Hmm, was me nog niet eens opgevallen, maar dat is wel bijzonder slecht.
Je zou toch verwachten dat een organisatie als de Bdienst wel beter met je gegevens omgaat.
13-04-2015, 19:35 door Anoniem
Ik kan niet opmaken of het om sites gaat die gegeven _verwerken_ of gewoon de publieke presence zonder invoer ?

Waarom de pagina openingstijden van de balie burgerzaken nu precies over SSL zou moeten gaan ontgaat me toch.
13-04-2015, 22:10 door Anoniem
Door Anoniem: Hmm, was me nog niet eens opgevallen, maar dat is wel bijzonder slecht.
Je zou toch verwachten dat een organisatie als de Bdienst wel beter met je gegevens omgaat.

Tja, bij de loodgieter thuis lekken ook alle kranen...
13-04-2015, 22:30 door Anoniem
Serieus, bij hoeveel van die overheidswebsites gaan er werkelijk gevoelige gegevens worden verzonden? HTTPS is tegenwoordig zeer goedkoop, maar het heeft is niet altijd noodzakelijk of zinvol.
Een projectsite is vaak niet meer dan een reclamefolder. En als je HTTPS gaat toepassen, dan dek je de client-server-side wel af, maar alles wat achter de server gaat gebeuren is daarmee nog niet veilig. Hoeveel sites zullen bijvoorbeeld die resultaten van formulieren vanaf de webserver onbeveiligd mailen naar een of ander mailadres? Je blind staren op HTTP(S) is niet verstandig en kortzichtig. Kijk liever naar de keten.
13-04-2015, 23:42 door [Account Verwijderd]
[Verwijderd]
14-04-2015, 06:39 door [Account Verwijderd] - Bijgewerkt: 14-04-2015, 06:41
[Verwijderd]
14-04-2015, 06:50 door Erik van Straten - Bijgewerkt: 14-04-2015, 07:05
13-04-2015, 19:35 door Anoniem: Waarom de pagina openingstijden van de balie burgerzaken nu precies over SSL zou moeten gaan ontgaat me toch.
Je bent onvoldoende paranoïde.

Het idee achter webservercertificaten is dat de gebruiker, onafhankelijk van (eenvoudig te manipuleren) DNS, zeker weet dat zij met een webserver van de bedoelde organisatie communiceert (*). En dus ook dat de informatie die zij leest, daadwerkelijk afkomstig is van de betreffende organisatie, zonder dat derden die hebben kunnen manipuleren.

In dit specieke geval zou een aanvaller de pagina kunnen wijzigen met bijv. "als u uw identiteitsbewijs inscant en uploadt kunnen wij u sneller van dienst zijn."

Een site waar je ergens gegevens uitwisselt waar een aanvaller baat kan hebben bij manipulatie en/of inzage (o.a. inloggen, zeker ook met DigiD), hoort 100% TLS + HSTS te zijn. Dan kunnen we gebruikers opvoeden bij binnenkomst de authenticiteit van de site te checken, zodat zij dat niet meer hoeven te doen op het moment dat zij zich op inhoudelijke zaken concentreren.

(*) Toegegeven, er kan op dit moment veel te veel mis gaan met certificaten. Sinds kort lijkt PKI Overheid ook EV certificaten te ondersteunen. Ik hoop dat binnenkort alle overheidssites deze gebruiken, dan kunnen we gebruikers eenduidig uitleggen waar ze op moeten letten.

Aanvulling 07:05: ik zag de bijdrage van pe0mot pas nadat ik mijn tekst had gesubmit.
14-04-2015, 07:13 door Erik van Straten - Bijgewerkt: 14-04-2015, 07:15
13-04-2015, 22:30 door Anoniem: HTTPS is tegenwoordig zeer goedkoop, [...]
Nee, dat is het niet. De kosten van certificaten zijn verwaarloosbaar t.o.v. het goed inrichten en veilig houden van serieuze https sites.
14-04-2015, 11:28 door Anoniem
Nog een goed voorbeeld: inschrijvingsites bij voortgezet onderwijs. Of u wel allerlei persoonsgegevens tot aan BSN wil invoeren. Natuurlijk niet via HTTPS.....
15-04-2015, 15:24 door Anoniem
Door Anoniem: Nog een goed voorbeeld: inschrijvingsites bij voortgezet onderwijs. Of u wel allerlei persoonsgegevens tot aan BSN wil invoeren. Natuurlijk niet via HTTPS.....

Sites bij praktijken psychotherapie: graag alle persoonsgegevens en ook een uitgebreid verhaal over de achtergrond van de persoon en de klachten, evenals eerdere diagnoses en behandelingen. Voor een voorbeeldje: adviesbureau comenius (www.comen.nl) en dan naar het aanmeldformulier. Geen https te bekennen. Ook geen idee wat er achter de site met de gegevens gedaan wordt trouwens.

Maar ja, wat doen scholen, BSO's, crèches, psychopraktijken etc eigenljk met alle formulieren op papier, waar je de meest wilde gegevens op moet invullen? Ik neem aan dat die gewoon bij het oud papier gezet worden als het schooljaar om is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.