Niks is "onmogelijk", wel is het goed dat de overheid met de tijd meegaat en ziet dat HTTP echt niet meer kan.

Schrijven ze dat zo, om duidelijk te maken dat de Amerikanen er wel bij kunnen (en delen met de nederlandse overheid)?

Het wordt tijd dat we kunnen zeggen
'waardoor het voor iedereen onmogelijk is deze gegevens te onderscheppen'

Wat betekent dit? Zodra er persoonlijke informatie over de lijn moet: Dat lijkt me in de praktijk al verplicht. Beschikbaar hebben? Goed idee. http toegang "verplicht" dichtzetten zodat ook basisinformatie (zeg maar alles wat de overheid publiceert uitgezonderd dat wat onder privacy valt) niet meer onversleuteld beschikbaar is? Niet zo'n goed idee.

Beter idee bij dat laatste geval is om te zorgen dat de informatie breed beschikbaar is ongeacht transport en ongeacht browser. De huidige trend is om doormiddel van "levende standaard"-truukjes iedereen te dwingen altijd de allernieuwste versie van een browser van een grote partij beschikbaar te hebben, maar dat is eigenlijk ontzettend contraproductief als het alleen maar over simpelweg publieke informatie gaat. Waarbij het dan meestal ook nog eens gaat om vooral tekst, dus heel veel lettertjes en weinig anders. Hoezo zou je daar eerst je browser voor moeten upgraden voor je dat mag lezen?

Zorg maar fijn dat het werkt ongeacht browser, zeg. En nee, "kosten" en andere tegenwerpingen zijn geen argument. Of je moet als overheid een gegarandeerd werkend en automatisch bijgewerkt tablet oid gaan uitdelen aan elke burger. Dan is de postbus 51-foldermolen in de bibliotheek ineens zo duur niet meer.

Het nog bestaande HTTP van nu is zoals het TELNET van vroeger. Het was al achterhaald toen het protocol ooit in de RFC documentatie werd voorgesteld, want het was van meet af aan een slecht, onveilig ontworpen manier van verbinden.

De ontwikkeling van SSH vaagde het onveilige TELNET in een mum van tijd van de kaart. Het is verbazingwekkend dat nog steeds niet met onveilige HTTP is gebeurd, omdat ook HTTPS inmiddels lang bestaat.

Ik moet het verdwijnen van HTTP bij overheden in 2019 dus nog eerst zien gebeuren.

Dat dacht ik ook. Want samen met zo'n certificaat hoort ook de voorlichting dat je kijkt op wiens naam dat certificaat uitgegeven en en of je wel op de echte site zit. Voor een fake site is simpel een slotje te

Gisteren hoorde ik op TV nog de onzin opmerking door Alexander Klöpping dat je een veilige verbinding met je bank hebt, als je een slotje ziet. Van Alexander Klöpping had ik toch meer nuance verwacht. Je moet samen met dat slotje op zijn minst controleren of de url ook klopt.

En zelfs als de url klopt en er een slotje is, dan er een hack geweest zijn op je router waardoor je naar een fake dns server gestuurd wordt. In combinatie met een dubieuze certificaat uitgever kan je dan een slotje op de fake site van je bank zien. De uitgever van het certificaat controleren is verstandig als je 99.999% garantie wilt hebben. (100% bestaat inderdaad niet)

Mensen uit de politiek moeten eigenlijk niet praten over cybersecurity maar gewoon een cyber expert het woord laten doen. De enige die echt verstand van ICT had was IVO Opstelten!

Hij wou corruptie binnen de overheid aanpakken en iemand heeft hem proberen te naaien door anoniem het bonnetje naar nieuwsuur te sturen. Als je het rapport van Commissie Oosting deel2 leest zie je duidelijk dat het bonnetje opgeslagen was in Zoetermeer waar de AIVD op toezicht houdt. Wellicht dat de AIVD zijn plannen wou saboteren.

Opstelten had een geweldige ICT voor Nederland kunnen realiseren en wou de belastingdienst, Justitie allemaal centraliseren samen met de gemeentes (moet je nagaan hoeveel dit jaarlijks zou besparen op de ICT).

Het wordt tijd dat de overheid compleet overgaat op HTTPS. Ik denk alleen dat de beveiliging nog wat te wensen over laat. HTTPS is een goed beging (ook al zijn ze er veel te laat mee), maar als dat het enige is wat ze verplicht gaan stellen is onze data nog steeds niet echt veilig. Ik weet niet of de ICT afdeling van de gemiddelde gemeente opgewassen is tegen de gemiddelde Russische hacker die op je gegevens uit is.

ik verbaas me er niet over hoor. SSH enablen is gratis, want het systeem genereert nagenoeg geheel automagisch zijn eigen encryptie sleutels. Zwakheid daarentegen is dan wel dat er dus ook geen andere verificatie plaats vind dan dat je de eerste keer verbinden naar een (nieuwe) key een "herken je deze thumbprint?" melding krijgt. Ik durf te wedden dat >95% van de personen die die melding krijgt geen check doet, maar gewoon op "oh, okay" klikt.

HTTPS daar en tegen is volledig afhankelijk van een public key signging infrastructuur. Het is nog niet zo heel lang dat Let's Encrypt beschikbaar is en zelfs dan is het een behoorlijke klus om diens certificaten op alle afhankelijke systemen te implementeren. Dan moet je een tool daarvoor aanschaffen, of heel zelf handig zijn met het aanroepen van de API's, of hopen dat je provider een goede implementatie heeft geknutseld die het voor je doet. Anders is het een betaalde CA die je dat moet aanleveren - minder vaak aanpassen, maar toch bewerkelijk. Komt doorgaans neer op "La La La: Geld". Dat heeft de bulk van het surfend internet er niet voor over.

Neemt natuurlijk niet weg dat Publieke, Semi Publieke en Commercieel/Private partijen http hooguit voor een redirect naar https zouden moeten gebruiken, maar goed, daarmee heb je de thuisgebruiker met zijn "dit is mijn konijntje nijntje pagina" nog niet van http af.

Er zijn ook nog overheids site's die opendata leveren, waarom zou je daar moeite nemen om die toch al open data achter https te zetten?

Het is toch wel handig om te zorgen dat die "opendata" niet zo maar vervalst kan worden.

Zoek maar eens op "AT&T injecting ads in wifi hotspot", dan zul je zien dat er al lang gebruik gemaakt wordt van methoden om bestaande webpaginas onderweg aan te passen. Vanuit je huis zal dat risico klein zijn, maar buitenshuis weet je nooit zeker of je naar de originele website kijkt als de verbinding http is.

Telnet* was redelijk goed geschikt voor de doeleinden van toen, en niet heel slecht ontworpen. http... eh.

https is precies hetzelfde als http plus een laag encryptie erop geplakt. (Wat overigens met telnet ook heel goed kan, zelfs hier en daar geimplementeerd is, maar omdat "iedereen" wist dat telnet "dus" onveilig moest zijn is dat nooit aangeslagen en is iedereen naar ssh gerend.) En voor heel veel data die over http beschikbaar is, is het extra werk van encryptie en certificaten bijhouden en zo verder eigenlijk verspeelde moeite.

Een uiterst brakken infrastructuur. Rigide en zwak. Op z'n zachtst gezegd. Zo'n certificaatauthoriteit zal je beschermen tegen iedereen van wie ze geen geld aannemen. De meestgebruikte CAs zijn commercieel.

Dat denk ik niet eigenlijk. De bulk is "toch wel" publieke informatie, dus waarom die moeite doen? Hooguit sluit je er geinteresseerden en mensen die *recht* hebben op toegang tot die informatie ermee uit van die toegang.

Als je daar een sterk en steekhoudend argument voor kan neerzetten kun je daarmee je wijsheid tot buiten de kring van "security" --alles moet versleuteld! altijd!-- "professionals" verspreiden.


* Kijk eens naar de data op de bijbehorende RFCs.

in lijn met:
https://www.rijksoverheid.nl/documenten/kamerstukken/2018/10/16/kamerbrief-over-verhogen-informatieveiligheid-bij-de-overheid

Als je niet op de gegevens van overheidswebsites en bijvoorbeeld de beltel antwoorden waarde kunt toekennen maakt dat niets uit. Genoeg uitspraken dat je niet op die informatie mag vertrouwen.
Bijvoorbeeld: Je mag een afspraak met de belastingdienst maken over een fiscale kwestie maar die moet schriftelijk gericht afgedaan worden.
Met de open datasets heb je het zelfde, de inhoud is niet gegerandeerd juist, wil je dat wel dan moet je er anders insteken.

Iemand al iets bedacht voor de mogelijkheden van TLS Session resumption tracking - vooral via facebook en Google.
Lees: https://www.theregister.co.uk/2018/10/19/tls_handshake_privacy/

Tor doet er wat mee. Op desktops is het niet zo'n probleem, maar op Androids waar de browser soms extreem lang open blijft staan wel.

Iemand? https://trac.torproject.org/projects/tor/ticket/4099

Bitwiper, ik wacht op een reactie van jou op dit TLS tracking probleem.

Een veiligheidsprotocol dat uitgebuit wordt voor het ad-tracking van eindgebruikers door grote spelers als facebook en vooral Google. Ik voel me weer een beetje "verraden" hier.

Maar ja kunnen ze niet linksom tracken, dan gaat het rechtsom.
Hoe hou je je browser nog een beetje dicht t,a.v. je privacy?

groetjes,

luntrus

De overheid zou een eigen "Let's Encrypt" kunnen regelen (is immers opensource) en die min of meer voor alle (ook lokale) overheidsdiensten verplicht stellen (je wilt immers ook niet dat ze van buitenlandse partijen afhankelijk worden).

Dat is ook gevaarlijk, want de politiek en de media weten altijd wel een 'specialist' te vinden die dat eigenlijk niet echt is. Laatst hadden ze ook een paardenmeisje gevonden, dat dacht iets van cyber-security te weten, die hele vreemde dingen beweerde.

Je wilt niet dat die data zomaar onderweg gewijzigd wordt.

Om de integriteit van de data te waarborgen !

Dat kan ook zonder dure SSL implementaties. Opendata kan je "simpelweg" hashen met een sterke algoritme (bv. SHA512).

@On-topic:

HTTPS is al langer verplicht voor Rijksdiensten (zie: pas-toe-of-leg-uit-lijst), goed dat dit opgenomen wordt in wet en ook gaat gelden voor gemeenten en provincies.

Maar laat men dan ook "TLS session resumption lifetime voor tracking doeleinden beperken tot 10 minuten en niet tot zeven dagen zoals nu het gebruik is. In de tor browser staat het "disabled", maar daar gaat het om anonimiteit en niet over privacy bescherming.

Een goed met IT security omgaande overheid, die haar burgers veilig wil houden in de browser, zou hier toch voor moeten zijn en niet bij voorbaat op de hand van commerciële trackers. Maar dat zal ik wel weer verkeerd hebben gezien, helaas. Zo de waard is vertrouwt ie immers zijn gasten.

luntrus

Zie https://nl.wikipedia.org/wiki/Generieke_digitale_infrastructuur voor meer verplichtingen dan alleen https.