Amerikaanse overheid volledig over op HTTPS in 2017
Alle websites van de Amerikaanse federale overheid moeten in 2017 van HTTPS gebruik maken, zo heeft het White House Office of Management and Budget (OMB) aangekondigd (pdf). Volgens Tony Scott, de Chief Information Officer van de Verenigde Staten, vormen onversleutelde HTTP-verbindingen een beveiligingsprobleem en kunnen ze potentieel vertrouwelijke informatie van gebruikers openbaren.
Het gaat dan om browseridentiteit, inhoud van de website, zoekopdrachten en andere ingevoerde informatie. Om dit probleem aan te pakken zijn veel commerciële partijen al op HTTPS overgestapt om bezoekers van hun websites en diensten te beschermen, stelt Scott. Door de nieuwe richtlijn van het OMB zal diezelfde bescherming straks ook voor Federale overheidssites en diensten gelden. In de richtlijn staat dat alle publiek toegankelijke overheidssites vanaf 1 januari 2017 alleen via HTTPS toegankelijk mogen zijn.
Volgens Scott helpt een beleid waarbij alleen HTTPS wordt gebruikt subjectieve beslissingen te voorkomen van wat voor soort informatie nu gevoelig is en zal het helpen om een sterkere privacystandaard binnen de overheid te realiseren. "Het is zeer belangrijk dat federale websites de hoogste privacystandaarden voor gebruikers hanteren", voegt de CIO toe. Hij stelt dat door het nieuwe beleid het gebruik van HTTPS over het gehele internet zal worden versneld, wat uiteindelijk voor betere privacystandaarden voor alle internetgebruikers zal zorgen.
Gedetailleerde informatie is overigens te vinden op https://https.cio.gov/. Daarbij vermeldt https://https.cio.gov/everything/ niet dat https een goed middel is om DNS manipulatie te herkennen (waardoor je op een andere server uitkomt dan de bedoeling is op basis van de domainname in de URL).
Voorwaarde voor het herkennen van DNS manipulatie is dat het gebruikers opvalt dat een site geen https ondersteunt, terwijl je dat wel mag verwachten. Op termijn, als https de standaard is en je gewaarschuwd wordt bij (ongeauthenticeerde en onversleutelde) http verbindingen, zal dit besef toenemen. Daarnaast zal HSTS (https://https.cio.gov/hsts/) helpen als je de echte site niet al te lang geleden al eens bezocht hebt - mits je een browser gebruikt die HSTS ondersteunt.
https://www.security.nl/posting/420935/Microsoft+waarschuwt+voor+TLS_SSL-lek+in+Windows
Het beste middel tegen DNS-manipulatie is en blijft echter DNSSEC (dat perfect naast TLS kan bestaan dus, voor de duidelijkheid, geen alternatief of vervanger is).
Doet jouw ISP al DNSSEC-validatie? Is jouw favoriete domeinnaam al beveiligd met DNSSEC? Test het op https://internet.nl/ !
Doet jouw computer al aan DNSSEC-validatie? Fixed that for you.
https://www.security.nl/posting/420935/Microsoft+waarschuwt+voor+TLS_SSL-lek+in+Windows
Wel is het zo dat dergelijke aanvallen, in veel situaties, aanzienlijk lastiger zijn uit te voeren dan DNS manipulatie.
Het beste middel tegen DNS-manipulatie is en blijft echter DNSSEC (dat perfect naast TLS kan bestaan dus, voor de duidelijkheid, geen alternatief of vervanger is).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
