image

Amerikaanse overheid volledig over op HTTPS in 2017

dinsdag 9 juni 2015, 14:14 door Redactie, 5 reacties

Alle websites van de Amerikaanse federale overheid moeten in 2017 van HTTPS gebruik maken, zo heeft het White House Office of Management and Budget (OMB) aangekondigd (pdf). Volgens Tony Scott, de Chief Information Officer van de Verenigde Staten, vormen onversleutelde HTTP-verbindingen een beveiligingsprobleem en kunnen ze potentieel vertrouwelijke informatie van gebruikers openbaren.

Het gaat dan om browseridentiteit, inhoud van de website, zoekopdrachten en andere ingevoerde informatie. Om dit probleem aan te pakken zijn veel commerciële partijen al op HTTPS overgestapt om bezoekers van hun websites en diensten te beschermen, stelt Scott. Door de nieuwe richtlijn van het OMB zal diezelfde bescherming straks ook voor Federale overheidssites en diensten gelden. In de richtlijn staat dat alle publiek toegankelijke overheidssites vanaf 1 januari 2017 alleen via HTTPS toegankelijk mogen zijn.

Volgens Scott helpt een beleid waarbij alleen HTTPS wordt gebruikt subjectieve beslissingen te voorkomen van wat voor soort informatie nu gevoelig is en zal het helpen om een sterkere privacystandaard binnen de overheid te realiseren. "Het is zeer belangrijk dat federale websites de hoogste privacystandaarden voor gebruikers hanteren", voegt de CIO toe. Hij stelt dat door het nieuwe beleid het gebruik van HTTPS over het gehele internet zal worden versneld, wat uiteindelijk voor betere privacystandaarden voor alle internetgebruikers zal zorgen.

Reacties (5)
09-06-2015, 15:24 door Erik van Straten
Daar kunnen de Belgische en Nederlandse overheid een voorbeeld aan nemen!

Gedetailleerde informatie is overigens te vinden op https://https.cio.gov/. Daarbij vermeldt https://https.cio.gov/everything/ niet dat https een goed middel is om DNS manipulatie te herkennen (waardoor je op een andere server uitkomt dan de bedoeling is op basis van de domainname in de URL).

Voorwaarde voor het herkennen van DNS manipulatie is dat het gebruikers opvalt dat een site geen https ondersteunt, terwijl je dat wel mag verwachten. Op termijn, als https de standaard is en je gewaarschuwd wordt bij (ongeauthenticeerde en onversleutelde) http verbindingen, zal dit besef toenemen. Daarnaast zal HSTS (https://https.cio.gov/hsts/) helpen als je de echte site niet al te lang geleden al eens bezocht hebt - mits je een browser gebruikt die HSTS ondersteunt.
09-06-2015, 16:07 door User2048
Helaas heeft diezelfde US overheid ervoor gezorgd dat HTTPS niet zo veilig is als zou moeten, door export van sterke encryptie te beperken...

https://www.security.nl/posting/420935/Microsoft+waarschuwt+voor+TLS_SSL-lek+in+Windows
10-06-2015, 01:02 door marcod
Door Erik van Straten:Daarbij vermeldt https://https.cio.gov/everything/ niet dat https een goed middel is om DNS manipulatie te herkennen

Het beste middel tegen DNS-manipulatie is en blijft echter DNSSEC (dat perfect naast TLS kan bestaan dus, voor de duidelijkheid, geen alternatief of vervanger is).

Doet jouw ISP al DNSSEC-validatie? Is jouw favoriete domeinnaam al beveiligd met DNSSEC? Test het op https://internet.nl/ !
10-06-2015, 09:27 door Anoniem
Doet jouw ISP al DNSSEC-validatie?

Doet jouw computer al aan DNSSEC-validatie? Fixed that for you.
10-06-2015, 10:06 door Erik van Straten
09-06-2015, 16:07 door User2048: Helaas heeft diezelfde US overheid ervoor gezorgd dat HTTPS niet zo veilig is als zou moeten, door export van sterke encryptie te beperken...

https://www.security.nl/posting/420935/Microsoft+waarschuwt+voor+TLS_SSL-lek+in+Windows
Daar heb je gelijk in. En niet alleen deze door jou genoemde Freak attack is daar het gevolg van, maar ook Logjam (zie https://www.security.nl/posting/429159/Nieuw+encryptie-lek+bedreigt+webservers+en+mailservers en https://www.security.nl/posting/429150/%5BLogjam%5D+Nieuwe+kwetsbaarheid+in+TLS+protocol). Overigens is Firefox ESR v38.0.1 daar nog steeds kwetsbaar voor, en ook veel servers.

Wel is het zo dat dergelijke aanvallen, in veel situaties, aanzienlijk lastiger zijn uit te voeren dan DNS manipulatie.

10-06-2015, 01:02 door marcod:
Door Erik van Straten:Daarbij vermeldt https://https.cio.gov/everything/ niet dat https een goed middel is om DNS manipulatie te herkennen

Het beste middel tegen DNS-manipulatie is en blijft echter DNSSEC (dat perfect naast TLS kan bestaan dus, voor de duidelijkheid, geen alternatief of vervanger is).
Eens, maar DNSSEC werkt nog maar voor weinig gebruikers, terwijl nagenoeg alle webbrowsers https ondersteunen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.