image

Plasterk: Beeld over onveilige overheidssites verdient nuance

maandag 9 januari 2017, 14:53 door Redactie, 39 reacties

Het in de media geschetste beeld dat de verbindingen naar veel overheidssites niet goed beveiligd zijn verdient enige nuance, zo heeft minister Plasterk op Kamervragen van CDA en PvdA laten weten. Uit recent onderzoek bleek dat veel overheidssites geen gebruik van een versleutelde verbinding maken.

Van alle websites van de Rijksoverheid, gemeenten, provincies en gemeenschappelijke regelingen, beschikt volgens het onderzoek 44 procent over een https-verbinding. Verder bleek dat van de 797 overheidswebsites met een https-verbinding er 108 niet correct geconfigureerd zijn waardoor bezoekers alsnog risico’s kunnen lopen. PvdA-Kamerleden Oosenbrug en Kerstens en CDA-Kamerlid Amhaouch wilden van de minister weten of het onderzoek klopt.

"Het in de media geschetste beeld dat de verbindingen naar veel overheidswebsites niet goed beveiligd zijn, verdient enige nuance. Het belang van het beveiligen van de verbinding naar een overheidswebsite hangt af van of de website (persoons-) gevoelige informatie uitwisselt. Daarom zijn organisaties zelf verantwoordelijk voor het beveiligen van hun websites", antwoordt Plasterk (.docx 1, .docx 2).

Volgens de minister zijn nog niet alle overheidswebsites zo ingesteld dat er geen beveiligingsrisico bestaat. "Elke overheidsorganisatie is uiteindelijk zelf verantwoordelijk voor het beveiligen van de eigen overheidswebsites", herhaalt hij zijn eerdere antwoord. Wel worden er aanvullende acties ondernomen om de uitrol van https te versnellen. Zo is er een factsheet ontwikkeld en zijn er diverse workshops georganiseerd.

Plasterk stelt verder dat het onwenselijk is wanneer websiteonderdelen waar gevoelige gegevens, zoals financiële of persoonsgegevens worden verwerkt, onversleuteld zijn. "Vandaar dat is ingezet op het afgesproken streefbeeld om https op die plekken overal toe te passen", antwoordt de minister. Hij is het echter niet eens met de mening van verschillende partijen dat de overheid op dit gebied te kort zou schieten. "Vooropgesteld is het beveiligen van overheidswebsites natuurlijk van belang, maar op basis van het aangehaalde onderzoek kan ik niet concluderen dat de overheidswebsites in het algemeen niet voldoen."

Reacties (39)
09-01-2017, 15:14 door Anoniem
"Pia" Plasterk: sorry kon het niet laten.

We gaan het dus hebben over de definitie "te kort zou schieten". Dus als je ergens aan werkt schiet je niet te kort maar is het under construction?

Als ik met een auto rij op de openbareweg die APK niet ok is maar intussen naar de Brezan rij voor een lampje en een nieuwe uitlaat en ik word aangehouden of gefotografeerd kan ik vinden wat ik wil maar krijg ik toch een bekeuring op zijn minst? Wat? dat gaat zelfs automatisch als die niet gekeurd is.

En hoezo is elke overheidsorganisatie verantwoordelijk voor het beveiligen van zijn eigen sites? Dat kan wel zo zijn maar is dat niet een beetje een zwaktebod. Word het dan niet eens tijd dat in tijden van toenemende cybercriminaliteit iemand flink aan de touwtjes trekt?

Onwenselijk?

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacycheck/privacy-impact-assessment-pia
https://www.rijksoverheid.nl/documenten/publicaties/2013/06/24/toetsmodel-privacy-impact-assessment-pia-rijksdienst

Zit ik nou te strak in mijn vel of???


WAAROM ZIJN DIE WEBSITES DAN ONLINE ALS ZE NIET SAFE ZIJN MAAR WEL MET ONZE DATA SPELEN?
09-01-2017, 15:17 door Vixen - Bijgewerkt: 09-01-2017, 15:18
Het belang van het beveiligen van de verbinding naar een overheidswebsite hangt af van of de website (persoons-) gevoelige informatie uitwisselt.

Nee nou is hij mooi, ik ga naar een overheidswebsite zonder gevoelige data uit te wisselen...
Het feit dat je de website bezoekt, en welke subpagina's, dat is al gevoelige data in principe.

Plasterk stelt verder dat het onwenselijk is wanneer websiteonderdelen waar gevoelige gegevens, zoals financiële of persoonsgegevens worden verwerkt, onversleuteld zijn.
"Onwenselijk" Deze meneer is wel heel goed in het nuanceren van dingen ;)
09-01-2017, 15:18 door Ron625
En dat wordt dan weer aangeboden in een gesloten standaard, dat door overheden en gesubsidieerde instellingen niet gebruikt mag worden.
Een overheid die regels maakt en zich er zelf niet aan houdt, verliest wel een stuk geloofwaardigheid.
09-01-2017, 15:28 door Anoniem
Waarschijnlijk weet plasterk niet eens welke websites de overheden allemaal hebben.. die overheden zelf weten dat waarschijnlijk niet eens...
De laatste keer dat ik bij een overheidstoko werkte bleek dat ze een class-B range aan IPv4 hadden waar 2 proxyservers op draaide die ook nog eens alleen uitgaand verkeer hadden.
en omdat de beheerders ontslagen waren met een zak goud als oprotpremie voor hun geweldig documentatie werk (wat ze bij overheden dus never nooit niet doen, omdat iedereen daar bezig is met zijn eigen eilandje veilig te stellen en documenteren betekent dat je zomaar vervangen kan worden) was er dus helemaal niets bekend over hoeveel websites waren, waar deze gehost werden, wat de domeinnamen waren, waar de keys en certs lagen..

Dus ja... dat plasterk zegt 'ik weet dat ik verantwoordelijk ben maar fock you 2, daar ga ik niets aan doen' is dan ineens begrijpelijk.
09-01-2017, 15:33 door Anoniem
Door Vixen: Nee nou is hij mooi, ik ga naar een overheidswebsite zonder gevoelige data uit te wisselen...
Het feit dat je de website bezoekt, en welke subpagina's, dat is al gevoelige data in principe.
Jij bent dus die persoon die ik buiten iedere keer tegen kom met een papieren zak over zijn hoofd.
09-01-2017, 15:35 door Anoniem
Het verdient enige nuance is een politiek correcte uitvlucht voor: de beveiliging klopt niet
09-01-2017, 15:40 door Anoniem
Zo maar even lukraak googelen:

- Website Provincie Friesland --> onversleutelde verbinding met server, geen certificaat.
- Stel, je wilt contact leggen,
- En stel, je wilt een klacht indienen: http://www.fryslan.frl/3598/klacht-of-melding-indienen/

Je naw-gegevens worden onversleuteld over het internet verstuurd.
Iedereen die een fake-website met een fake-domein van deze provincie maakt, is in staat om je naw-gegevens af te vangen.

Is dat de nuance die Plasterk bedoelt?
09-01-2017, 16:00 door Erik van Straten
Nuance is zeker op zijn plaats, want het doel van https is tweeledig:

1) Zeker weten dat je op de juiste site zit, authenticatie van de webserver dus;

2) Voorkomen dat derden informatie kunnen lezen en/of wijzigen die wordt uitgewisseld tussen jouw webbrowser en de geauthenticeerde webserver.

Stap 1 is essentieel om te voorkomen dat burgers op het verkeerde been worden gezet door kwaadwillenden. Dat geldt dus ook voor sites die slechts informatie verstrekken.

En zolang burgers er niet vanuit kunnen gaan dat alle overheidswebsites zich fatsoenlijk authenticeren, kun zij niet op betrouwbare wijze nepsites van echte onderscheiden.
09-01-2017, 16:05 door Anoniem
Plasterk heeft het over publieke informatie. Waarom zou je dat versleutelen. Zolang je maar zorgt voor de integriteit. Op het moment dat je data gaat invoeren wordt het een ander verhaal.
09-01-2017, 16:22 door Anoniem
Door Ron625: En dat wordt dan weer aangeboden in een gesloten standaard, dat door overheden en gesubsidieerde instellingen niet gebruikt mag worden.
Je hebt deels gelijk: het "pas toe of leg uit"-beleid gaat over het uitwisselen van documenten. Het is niet zo dat documenten alleen maar uitgewisseld worden door overheden. Maar in dit geval is daar overduidelijk wel sprake van. Voor reviseerbare documenten had ODF gebruikt moeten worden, en het lijkt me dat deze publicatie niet in reviseerbare vorm gedaan hoort te worden, en dan is PDF het juiste formaat.

Bizar genoeg noemt Plasterk een ander onderdeel "pas toe of leg uit"-beleid in het eerste document, maar kennelijk zonder te beseffen dat hij zelf ook iets niet goed doet. De hele tweede kamer lijkt dat niet door te hebben, kamerstukken worden regelmatig in .doc of .docx gepubliceerd.
Een overheid die regels maakt en zich er zelf niet aan houdt, verliest wel een stuk geloofwaardigheid.
Mee eens.
09-01-2017, 16:23 door Anoniem
Door Erik van Straten: Nuance is zeker op zijn plaats, want het doel van https is tweeledig:
knip
En zolang burgers er niet vanuit kunnen gaan dat alle overheidswebsites zich fatsoenlijk authenticeren, kun zij niet op betrouwbare wijze nepsites van echte onderscheiden.
Het is een chain of trust Erik. De weakest link is niet het gebrek aan https maar de nuttelooseheid van https of gebrek eraan doordat gebruikers het principe niet snappen en met of zonder slotje massaal doorklikken. Het is niet alsof gebruikers weigeren gegevens te versturen als ze geen slotje zien. Even min is het de realiteit dat gebruikers certificaten serieus bekijken en snappen wat er staat voor ze gegevens versturen. Als het aan mij ligt gaan alle websites in de wereld https gebruiken, maar dan komt dat ook met de verlichting dat gebruikers verantwoordelijk zijn bij het niet controleren van certificaten enz. Trust werkt niet een kant op of alleen bij de andere schakels.
09-01-2017, 16:37 door Mr. Edlin
Door Vixen:Nee nou is hij mooi, ik ga naar een overheidswebsite zonder gevoelige data uit te wisselen...
Het feit dat je de website bezoekt, en welke subpagina's, dat is al gevoelige data in principe.

Dat ga je niet oplossen door https te gebruiken. Die data zal altijd zichtbaar blijven, tenzij je via Tor, VPN, ... gaat, maar die 'verantwoordelijkheid' ligt dus bij jezelf, niet bij de besturen.
09-01-2017, 16:44 door Anoniem
Door Anoniem:
Door Vixen: Nee nou is hij mooi, ik ga naar een overheidswebsite zonder gevoelige data uit te wisselen...
Het feit dat je de website bezoekt, en welke subpagina's, dat is al gevoelige data in principe.
Jij bent dus die persoon die ik buiten iedere keer tegen kom met een papieren zak over zijn hoofd.
Het is bijna een noodzakelijk kwaad aan het worden. Niet voor jou natuurlijk, want jij zit met je kop in het zand ;-)
09-01-2017, 16:56 door Anoniem
Simpele test per domein: https://www.ssllabs.com/ssltest/
09-01-2017, 17:10 door karma4
Plasterk was dat ook niet die man die Gmail voor werk en overheidszaken normaal vond.
@Ron625 de docx is open, ecma foundation. Toch moet je zaken die ter achivering dienen niet zo bewaren en publiceren. Pdf_1a (van Adobe bekend van de ... mplayer) is de aangewezen weg. Ik kan me niet voorstellen dat hij die antwoorden zelf verzonnen heeft. Welke ambtenaren zitten er achter mogelijk de ict architecten van bzk.
09-01-2017, 17:38 door Erik van Straten
09-01-2017, 16:23 vermoedelijk door karma4 of een andere Plasterk aanhanger:
Door Erik van Straten: Nuance is zeker op zijn plaats, want het doel van https is tweeledig:
knip
En zolang burgers er niet vanuit kunnen gaan dat alle overheidswebsites zich fatsoenlijk authenticeren, kun zij niet op betrouwbare wijze nepsites van echte onderscheiden.
Het is een chain of trust Erik. De weakest link is niet het gebrek aan https maar de nuttelooseheid van https of gebrek eraan doordat gebruikers het principe niet snappen en met of zonder slotje massaal doorklikken. Het is niet alsof gebruikers weigeren gegevens te versturen als ze geen slotje zien. Even min is het de realiteit dat gebruikers certificaten serieus bekijken en snappen wat er staat voor ze gegevens versturen. Als het aan mij ligt gaan alle websites in de wereld https gebruiken, maar dan komt dat ook met de verlichting dat gebruikers verantwoordelijk zijn bij het niet controleren van certificaten enz. Trust werkt niet een kant op of alleen bij de andere schakels.
Je lult zoals gewoonlijk uit je nek maar ik laat me deze keer trollen, want ook Plasterk snapt er duidelijk geen ruk van en ik schrijf dit soort bijdragen niet voor de kat zijn viool.

Als alle overheidswebsites een slotje tonen, kun je middels een campagne burgers erop wijzen dat alle overheidswebsite een slotje tonen en er dus van uit moeten gaan dat alle andere schijnbare overheidswebsites nep zijn. Natuurlijk zijn er altijd sukkels bij wie je dat niet tussen de oren krijgt, maar veel mensen zijn helemaal niet zo dom. Dat sommige gebruikers "het principe niet snappen" is geen argument om de rest niet te beschemen.

En het is nergens voor nodig om certificaten te controleren. Wel is het noodzakelijk dat mensen de domeinnaam in de URL controleren en bij twijfel googlen. Want helaas is het zo dat kwaadwillenden simpel een (DV) certificaat kunnen aanvragen voor websites met een domeinnaam die lijkt op de domeinnaam van de bedoelde site. Iets dat te overigens simpel te voorkomen zou zijn door alle overheidswebsites op .overheid.nl te laten eindigen, dan zouden gebruikers slechts daar op moeten letten.
09-01-2017, 17:49 door Anoniem
Gewoon een verkeerde interpretatie van de term 'Wet Openbaarheid Bestuur'...;-)
09-01-2017, 19:27 door Ron625
Door karma4: Plasterk was dat ook niet die man die Gmail voor werk en overheidszaken normaal vond.
En dar in het bedrijfsleven op staande voet voor ontslagen zou (kunnen) worden.
Door karma4:
@Ron625 de docx is open, ecma foundation.
De standaard wordt niet beheerd door een non-profit organisatie, en is dus volgens de EU regels en volgens de Nederlandse regels geen OpenStandaard.
Zolang MS een veto over de standaard heeft, voldoet het dus niet aan één van de 4 eisen voor een OpenStandaard.
09-01-2017, 19:39 door Anoniem
Ik word er zo droevig van dat personen als Plasterk zeggenschap hebben over de digitale toekomst van Nederland.
Normaliter ben nemen ze bevindingen van de USA beter over...
09-01-2017, 20:18 door Erik van Straten
09-01-2016, 16:05 door Anoniem: Plasterk heeft het over publieke informatie. Waarom zou je dat versleutelen. Zolang je maar zorgt voor de integriteit.
Het gaat naast integriteit ook om authenticiteit; https geeft je beide (http geen van beide).

Als een cybercrimineel de DNS instelingen in thuisrouters van burgers heeft gewijzigd, of burgers bezoeken via onvertrouwde (WiFi) verbindingen bijv. http://www.voorschoten.nl/inwoners-voorschoten/paspoort-rijbewijs-uittreksels_3295/, dan kan zo'n cybercrimineel pagina's naar wens tonen. Bijvoorbeeld: "om een nieuw paspoort aan te vragen dient u een scan of foto van uw paspoort hier te uploaden".

Of: "om deze gemeentewebsite te bekijken heeft u de laatste versie van Adobe Flash nodig, klik hier om deze te installeren".

Elke link op een http pagina die naar een wel-https pagina verwijst (op de site zelf of daarbuiten, inclusief digid.nl) kan door een aanvaller naar wens worden gewijzigd en kunnen gebruikers eenvoudig om de tuin worden geleid.

Na de verkiezing van Trump en met de Nederlandse verkiezingen in aantocht, snapt toch iedereen dat de authenticiteit en integriteit van nieuws maar ook informatie op overheidswebsites (wie is de echte bron) essentieel is?
09-01-2017, 21:11 door Anoniem
Door Anoniem: Plasterk heeft het over publieke informatie. Waarom zou je dat versleutelen. Zolang je maar zorgt voor de integriteit. Op het moment dat je data gaat invoeren wordt het een ander verhaal.

En hoe wil je op http integriteit garanderen? Plain text zo aan te passen. En met sslstrip erbij nog gevaarlijk als je daarna gaat inloggen op dezelfde site.
09-01-2017, 21:18 door Anoniem
Toch jammer dat dit soort mensen beleid maken terwijl ze zelf de kennis niet hebben maar ook blijkbaar slecht geïnformeerd zijn.

Iedereen op het internet is druk bezig alle verkeer te beveiligen en dit soort website te verbannen omdat de ene na de andere grote hack plaatsvind. Op het zelfde moment zegt onze regering dat, security niet zo nodig is.

Een woord: Schande.
09-01-2017, 22:10 door Anoniem
Als je dit roept en tegelijk een bizar budget beschikbaar stelt om WhatsApp end-to-end encryptie te kraken danwel omzeilen, dan praat je niet met dubbele tong.
Voor een politicus van zijn kaliber (en partij) toch best chapau.
10-01-2017, 00:00 door Anoniem
Door Erik van Straten:En het is nergens voor nodig om certificaten te controleren. Wel is het noodzakelijk dat mensen de domeinnaam in de URL controleren en bij twijfel googlen.
Gelukkig zijn we het eens over het controleren van de URL, maar ik blijf er bij dat de chain of trust niet werkt door als een luie gebruiker alleen maar op instinct en google te vertrouwen of een URL wel of niet goed is. Het principe van de chain of trust is juist dat ook gebruikers actief bewust zijn hoe de chain werkt en of certificaten voldoen. Dat veel browsers ze in de watten leggen met vooraf geinstalleerde CA's, kleurtjes en waarschuwingen is natuurlijk erg prettig maar het grootste deel van de gebruikers is niet in staat om zelf te bepalen of iets veilig is. Volkomen afhankelijk van de waarschuwingen die browsers geven. Heb je enig idee hoeveel mensen er anno 2017 blind een site als https://www.bakkerdevollebuick.nl/veiligheid-nieuwe-bankpas/ klikken en hun gegevens invullen?

Als alle overheidswebsites een slotje tonen, kun je middels een campagne burgers erop wijzen dat alle overheidswebsite een slotje tonen en er dus van uit moeten gaan dat alle andere schijnbare overheidswebsites nep zijn. Dat sommige gebruikers "het principe niet snappen" is geen argument om de rest niet te beschemen.
Ik vind je verheerlijking van de gebruikers bijna aandoenlijk, maar de praktijk die ik zie is dat gebruikers geen boodschap hebben aan een bericht dat ze alleen websites met een slotje moeten vertrouwen EN op een url moeten letten. Om het simpel te houden zijn er jaren lang campagnes geweest met de strekking dat mensen op het groene slotje moeten letten. Gevolg: als er een slotje staat en het lijkt op het eerste gezicht legitiem dan klikt men gewoon. Zelfs zonder slotje klikt men zelfs, niet te weinig. Of dacht je dat al die extra beveiligingswaarschuwingen die Google en Mozilla in hun browsers maken er in komen omdat het grootste deel van hun gebruikers slim genoeg is om te snappen hoe ze veilig browsen? En de gebruikers worden er alleen maar luier en luier door.
10-01-2017, 01:46 door Anoniem
Door Erik van Straten: Nuance is zeker op zijn plaats, want het doel van https is tweeledig:

1) Zeker weten dat je op de juiste site zit, authenticatie van de webserver dus;

.

Vraag aan Erik: Een domeinnaam is uiteraard uniek, dus de val waarin gebruikers lopen is een domeinnaam die plausibel is of een paar letters verschilt van de beoogde sitenaam. Lost https dit op? Kan een hacker niet een gelijkende domeinnaam registreren en certificeren?
10-01-2017, 08:42 door karma4
Ron komisch dat je een organisatie als Oasis open waar alles USD dollar gericht is (membership). Als niet commercieel ziet maar de ecma waar de e voor Europees met de relatie naar iec/iso en Javascript als te gesloten afdoen. Iets van een bias

@erik ik ben geen Plasterk fan en ik post iets principieel niet anoniem. Met het hele certificaten gedoe en de integriteit met daarbij het browser/Internet ontwerp van geen broncontrole met toestaan meerdere bronnen is het wat mij betreft in de basis nooit meer goed te krijgen. Diginotar en meer van dat soort zaken vergeten? De reactie van Anoniem waarop jij reageert beschrijft dat. Jammer je laat je kennen.
10-01-2017, 09:41 door Anoniem
Dat Plassterk het idee heeft dat omdat m'n https-verbinding gebruikt ze veilig zijn zegt genoeg.
10-01-2017, 10:33 door Power2All - Bijgewerkt: 10-01-2017, 10:34
HOSTS bestand aanpassen, MitM uitvoeren, DNS modificeren, aangepaste apache/nginx draaien met SSL certificaten via LetsEncrypt gebruiken...
Tja, daar heb je het al, en het is feest.

Plasterk roept met een fopspeen, SSL op alles is zo'n beetje nu de standaard, maar meneer vind het normaal dat gegevens gemodificeerd mogen worden...

Er is een reden waarom HTTPS op dit moment zoveel wordt geforceerd.
10-01-2017, 10:38 door Ron625 - Bijgewerkt: 10-01-2017, 10:40
Door karma4: Ron komisch dat je een organisatie als Oasis open waar alles USD dollar gericht is (membership). Als niet commercieel ziet maar de ecma waar de e voor Europees met de relatie naar iec/iso en Javascript als te gesloten afdoen. Iets van een bias
Waar zeg ik dat?
Het enige dat ik zeg, is dat een OpenStandaard beheerd moet worden door een non-profit organisatie.
Zolang MS de DOCx standaard beheert is het dus geen OpenStandaard!
De Nederlandse definitie is:

1. De benodigde documentatie moet laagdrempelig beschikbaar zijn.
2. Er mogen geen hindernissen zijn op het terrein van intellectueel eigendomsrecht.
3. Er moeten voldoende inspraakmogelijkheden zijn voor stakeholders tijdens de (door)ontwikkeling van de standaard.
4. De onafhankelijkheid en duurzaamheid van de standaardisatieorganisatie moeten verzekerd zijn.
De EU regels zijn nog beter geformuleerd:

1. De standaard is goedgekeurd en zal worden gehandhaafd door een not-for-profit organisatie, en de lopende ontwikkeling gebeurt op basis van een open besluitvormingsprocedure die toegankelijk is voor alle belanghebbende partijen (consensus of meerderheidsbeschikking enz.);
2. De standaard is gepubliceerd en over het specificatie document van de standaard kan vrijelijk worden beschikt of het is te verkrijgen tegen een nominale bijdrage. Het moet voor een ieder mogelijk zijn om het te kopiëren, beschikbaar te stellen en te gebruiken om niet of tegen een nominale prijs;
3. Het intellectuele eigendom - m.b.t. mogelijk aanwezige patenten - van (delen van) de standaard is onherroepelijk ter beschikking gesteld op een royalty-free basis;
4. Er zijn geen beperkingen omtrent het hergebruik van de standaard;

Het bovenstaande is op dit moment wettelijk, maar zonder een sanctie mogelijkheid.
Binnenkort komt er een boete mogelijkheid, de motie is al door de 2e kamer.

OffTopic:
De website van de 2e kamer is hopeloos verouderd mij is belooft door de Stafdienst Communicatie, dat deze voor het einde van het 1e kwartaal 2017 aan alle eisen zal voldoen, inclusief de OpenStandaard eis.
Eerst zien en dan geloven ;-)
10-01-2017, 10:41 door Anoniem
Door Anoniem: Zo maar even lukraak googelen:

- Website Provincie Friesland --> onversleutelde verbinding met server, geen certificaat.
- Stel, je wilt contact leggen,
- En stel, je wilt een klacht indienen: http://www.fryslan.frl/3598/klacht-of-melding-indienen/

Je naw-gegevens worden onversleuteld over het internet verstuurd.
Iedereen die een fake-website met een fake-domein van deze provincie maakt, is in staat om je naw-gegevens af te vangen.

Is dat de nuance die Plasterk bedoelt?
Sterker: domeinnaam frysland.frl is als domein (met toplevel-domein frl) nog vrij op het moment van schrijven. Dit verschilt 1 letter met fryslan.frl. Typosquatting komt dan zeker om de hoek kijken. Jammer dat een Haagse minister dit onvoldoende inziet.
10-01-2017, 12:16 door Erik van Straten
10-01-2017, 01:46 door Anoniem:
Door Erik van Straten: Nuance is zeker op zijn plaats, want het doel van https is tweeledig:

1) Zeker weten dat je op de juiste site zit, authenticatie van de webserver dus;

Vraag aan Erik: Een domeinnaam is uiteraard uniek, dus de val waarin gebruikers lopen is een domeinnaam die plausibel is of een paar letters verschilt van de beoogde sitenaam. Lost https dit op?
Nee. Maar http ook niet. Als mensen de juiste domeinnaam invoeren weet je met https zeker dat je op de site zit waarvan de domeinnaam in de URL-balk van de browser wordt getoond (anders krijg je een certificaatfoutmelding). Met http heb je geen enkele zekerheid.

10-01-2017, 01:46 door Anoniem: Kan een hacker niet een gelijkende domeinnaam registreren en certificeren?
Ja dat kan. Maar zoals ik hierboven al schreef, met http kan dat ook (en is iets eenvoudiger, want er hoeft geen certificaat te worden geregeld). Vandaar ook dat ik gisteren schreef:
Iets dat te overigens simpel te voorkomen zou zijn door alle overheidswebsites op .overheid.nl te laten eindigen, dan zouden gebruikers slechts daar op moeten letten.
10-01-2017, 12:19 door Anoniem
frysland.frl is als domein (met toplevel-domein frl) nog vrij op het moment van schrijven.
Die controle deed je met je browser i.p.v. whois danwel DNS?

# whois -h whois.nic.frl frysland.frl
...
Creation Date: 2015-04-14T15:09:22.518Z
10-01-2017, 14:01 door Anoniem
Door Erik van Straten:Als alle overheidswebsites een slotje tonen, kun je middels een campagne burgers erop wijzen dat alle overheidswebsite een slotje tonen en er dus van uit moeten gaan dat alle andere schijnbare overheidswebsites nep zijn. Natuurlijk zijn er altijd sukkels bij wie je dat niet tussen de oren krijgt, maar veel mensen zijn helemaal niet zo dom. Dat sommige gebruikers "het principe niet snappen" is geen argument om de rest niet te beschemen.

Een slotje is op geen enkele wijze een indicatie dat iets een echte of nep website van de overheid is. Het is voor de meeste niet-overheden eenvoudiger om een slotje op hun website te krijgen dan bij de overheid. Als niet-overheid ga je naar Let's Encrypt. Overheden moeten aan de slag met PKI Overheid.

Als de overheid integriteit hoog in het vaandel heeft staan, moet ze overal EV certificaten verplichten. En dan bij voorkeur ook nog DANE met TLSA. Zelfs dat heb ik thuis operationeel.

Peter
10-01-2017, 15:19 door Anoniem
Versleuteling verbergt (en beveiligd) niet enkel de inhoud van de datastroom maar verzekerd je ook dat je verbonden bent met een site welke daadwerkelijk van de overheid is. Dit lijkt me wel degelijk belangrijk, ook als je niet inlogt of prive data verstuurd.
10-01-2017, 16:21 door Erik van Straten
10-01-2017, 1401 door Anoniem (Peter):
Door Erik van Straten: Als alle overheidswebsites een slotje tonen, kun je middels een campagne burgers erop wijzen dat alle overheidswebsite een slotje tonen en er dus van uit moeten gaan dat alle andere schijnbare overheidswebsites nep zijn. Natuurlijk zijn er altijd sukkels bij wie je dat niet tussen de oren krijgt, maar veel mensen zijn helemaal niet zo dom. Dat sommige gebruikers "het principe niet snappen" is geen argument om de rest niet te beschemen.

Een slotje is op geen enkele wijze een indicatie dat iets een echte of nep website van de overheid is.
Klopt maar dat schreef ik niet. Ik bedoelde: als alle websites van de overheid een slotje hebben, dan is een site zonder slotje geen overheidswebsite. Hoe moeilijk kan het zijn?

10-01-2017, 1401 door Anoniem (Peter): Het is voor de meeste niet-overheden eenvoudiger om een slotje op hun website te krijgen dan bij de overheid.
Oh, het is te moelijk, laat dan maar zitten bedoel je?

10-01-2017, 1401 door Anoniem (Peter): Als de overheid integriteit hoog in het vaandel heeft staan, moet ze overal EV certificaten verplichten.
Daar ben ik het wel en volstrekt mee eens. En laat eigenaren van iets oudere Android devices maar bij Google klagen dat het Android "updatemodel" niet werkt (https://www.logius.nl/ondersteuning/pkioverheid/browserondersteuning-pkioverheid/).
10-01-2017, 17:36 door Anoniem
"Onwenselijk" is zo'n over-genuancieerde verwoording dat we het best mogen terug-nuanceren naar "Not done, zeker gezien het in het ruime gros vd gevallen inmiddels járen bekend is." Of als we het met terminologie willen uitdrukken: Nalatigheid.
10-01-2017, 17:56 door karma4
Ron je zegt het zelf dat ecma niet zou voldoen als onafhankelijke organisatie. Ik mis je open mind voor onderzoek verbanden. Kijk eens bij
Nhttps://www.oasis-open.org/committees/tc_home.php?wg_abbrev=office#subcommittees
Logius is de architectenclub van bzk waar Plasterk de informatie vandaan krijgt. Daar ko.t ook de verplichting van digitaal communiceren met de overheid zonder eigen keus vandaan. De argumemtatie dat privacy ondergeschikt is aan kosten en gemak van de overheid. Stuf en meer is nu niet bepaald open en makkelijk.
11-01-2017, 09:49 door Ron625
Door karma4: Ron je zegt het zelf dat ecma niet zou voldoen als onafhankelijke organisatie.
De ecma heb ik nergens genoemd!
18-01-2017, 18:04 door Anoniem
Door Anoniem:
frysland.frl is als domein (met toplevel-domein frl) nog vrij op het moment van schrijven.
Die controle deed je met je browser i.p.v. whois danwel DNS?

# whois -h whois.nic.frl frysland.frl
...
Creation Date: 2015-04-14T15:09:22.518Z
Nee hoor. Je moet niet meer lezen dat ik heb geschreven!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.