Onderzoek: 81% overheidssites gebruikt geen HTTPS
Maar liefst 81% van de overheidssites gebruikt geen HTTPS voor de verbinding tussen bezoekers en websites, zo hebben onderzoekers van de Open State Foundation vastgesteld. De stichting analyseerde iets meer dan tweeduizend overheidssites en ontdekte dat het HTTPS-protocol op slechts 19% van de websites werd gebruikt. Met behulp van een SSL-certificaat en het HTTPS-protocol zijn browsers en servers in staat informatie die verstuurd moet worden te versleutelen en bij aankomst weer te ontsleutelen.
Naast het versleutelen van het verkeer, wat afluisteren en manipulatie tegen moet gaan, helpt het gebruik van een SSL-certificaat ook bij het identificeren van websites. Van de 2.093 onderzochte websites bleek dat 413 websites een versleutelde HTTPS-verbinding ondersteunen en bij slechts 120 (5%) overheidssites wordt HTTPS geforceerd en het webverkeer van en naar de website altijd versleuteld. Slechts 119 overheidssites gebruiken HSTS, een techniek die browsers opdraagt een website voortaan alleen via HTTPS te bezoeken.
De onderzoekers stellen dat er geen logische reden te ontdekken was waarom het ene domein wel en het andere domein niet via HTTPS verloopt. Zo maken de websites van de Algemene Inlichtingen en Veiligheidsdienst, de Nationaal Coördinator Terrorismebestrijding en Veiligheid en het Nationaal Cyber Security Centrum wel altijd gebruik van het HTTPS-protocol, maar doen de websites van de Belastingdienst, de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten en het Agentschap Telecom dat niet voor al het webverkeer naar deze websites.
"Op websites van de overheid vindt veel uitwisseling van gegevens plaats maar HTTPS beschermt niet alleen informatie die naar de overheid wordt gezonden maar beschermt ook de vertrouwelijkheid wat mensen lezen. Van websites van de overheid verwachten burgers dat ze veilig en betrouwbaar zijn en dat privacy wordt beschermd", zo stelt de Open State Foundation. Volgens de stichting is het lage aantal overheidssites dat het HTTPS-protocol gebruikt opmerkelijk, omdat juist het Nationaal Cyber Security Centrum adviseert om alle websites die gevoelige gegevens verwerken te beschermen met HTTPS.
Je zou toch verwachten dat een organisatie als de Bdienst wel beter met je gegevens omgaat.
Waarom de pagina openingstijden van de balie burgerzaken nu precies over SSL zou moeten gaan ontgaat me toch.
Je zou toch verwachten dat een organisatie als de Bdienst wel beter met je gegevens omgaat.
Tja, bij de loodgieter thuis lekken ook alle kranen...
Een projectsite is vaak niet meer dan een reclamefolder. En als je HTTPS gaat toepassen, dan dek je de client-server-side wel af, maar alles wat achter de server gaat gebeuren is daarmee nog niet veilig. Hoeveel sites zullen bijvoorbeeld die resultaten van formulieren vanaf de webserver onbeveiligd mailen naar een of ander mailadres? Je blind staren op HTTP(S) is niet verstandig en kortzichtig. Kijk liever naar de keten.
Het idee achter webservercertificaten is dat de gebruiker, onafhankelijk van (eenvoudig te manipuleren) DNS, zeker weet dat zij met een webserver van de bedoelde organisatie communiceert (*). En dus ook dat de informatie die zij leest, daadwerkelijk afkomstig is van de betreffende organisatie, zonder dat derden die hebben kunnen manipuleren.
In dit specieke geval zou een aanvaller de pagina kunnen wijzigen met bijv. "als u uw identiteitsbewijs inscant en uploadt kunnen wij u sneller van dienst zijn."
Een site waar je ergens gegevens uitwisselt waar een aanvaller baat kan hebben bij manipulatie en/of inzage (o.a. inloggen, zeker ook met DigiD), hoort 100% TLS + HSTS te zijn. Dan kunnen we gebruikers opvoeden bij binnenkomst de authenticiteit van de site te checken, zodat zij dat niet meer hoeven te doen op het moment dat zij zich op inhoudelijke zaken concentreren.
(*) Toegegeven, er kan op dit moment veel te veel mis gaan met certificaten. Sinds kort lijkt PKI Overheid ook EV certificaten te ondersteunen. Ik hoop dat binnenkort alle overheidssites deze gebruiken, dan kunnen we gebruikers eenduidig uitleggen waar ze op moeten letten.
Aanvulling 07:05: ik zag de bijdrage van pe0mot pas nadat ik mijn tekst had gesubmit.
Sites bij praktijken psychotherapie: graag alle persoonsgegevens en ook een uitgebreid verhaal over de achtergrond van de persoon en de klachten, evenals eerdere diagnoses en behandelingen. Voor een voorbeeldje: adviesbureau comenius (www.comen.nl) en dan naar het aanmeldformulier. Geen https te bekennen. Ook geen idee wat er achter de site met de gegevens gedaan wordt trouwens.
Maar ja, wat doen scholen, BSO's, crèches, psychopraktijken etc eigenljk met alle formulieren op papier, waar je de meest wilde gegevens op moet invullen? Ik neem aan dat die gewoon bij het oud papier gezet worden als het schooljaar om is?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
