De Duitse overheid werkt aan minimale eisen waar veilige browsers aan moeten voldoen, zodat ze door overheidspersoneel mogen worden gebruikt. Twee jaar geleden publiceerde het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken al een eerste versie van de eisen.
Nu twee jaar later wordt er aan een update gewerkt, en een conceptversie is nu openbaar gemaakt (pdf). in de "Mindeststandard des BSI für sichere Web-Browser" staan verschillende eisen waaraan een veilige browser moet voldoen, zoals de ondersteuning van het tls-protocol, HTTP Strict Transport Security (HSTS), het veilig opslaan van wachtwoorden en certificaatbeheer.
Het BSI wil ook dat de browser zich automatisch kan updaten en tijdig gesigneerde updates ontvangt. Daarbij moet de leverancier in het geval van ernstige kwetsbaarheden binnen 21 dagen met een update komen. Tevens moet de browser het mogelijk maken om verzamelde gegevens zoals cookies te verwijderen. Een andere voorwaarde is dat de browser met minimale rechten kan draaien en over een sandbox beschikt.
Naast eisen die aan de browser en leverancier worden gesteld, stelt de Duitse overheidsinstantie ook eisen aan het gebruik van de browser. Zo moet de installatie van add-ons centraal worden geregeld en moeten gebruikers niet in staat zijn om zelf add-ons te installeren. Tevens moet het synchroniseren van gegevens met de cloud en andere externe diensten zijn uitgeschakeld.
Het BSI stelt verder dat beheerders in het geval van een ernstig beveiligingslek in de browser binnen zeven dagen in actie moeten komen, ongeacht of er een beveiligingsupdate beschikbaar is. Voor deze gevallen wijst de overheidsinstantie naar de "2-browserstrategie" waarbij er op een andere browser wordt overgestapt zolang er geen beveiligingsupdate voor de andere browser beschikbaar is. Met het openbaar maken van de conceptversie hoopt het BSI feedback van partijen te ontvangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.