Nieuws
image

VS maakt alle nieuwe .gov-domeinen alleen nog toegankelijk via https

dinsdag 23 juni 2020, 12:12 door Redactie, 4 reacties

Nieuwe .gov-domeinen van de Amerikaanse overheid zullen vanaf 1 september dit jaar alleen nog via https toegankelijk zijn, ook wanneer gebruikers http in hun adresbalk tikken. Dat heeft DotGov bekendgemaakt, de autoriteit van het .gov top level domain (TLD). Dit TLD is beschikbaar voor Amerikaanse overheidsinstanties op regionaal, staats en federaal niveau.

Al een aantal jaren maakt de Amerikaanse overheid voor nieuwe .gov-domeinen gebruik van https. Dit wordt echter niet afgedwongen. Wanneer gebruikers http intikken kan het onversleutelde verzoek door aanvallers worden opgevangen. Dit is door middel van HTTP Strict Transport Security (HSTS) te voorkomen. HSTS zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd.

De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd. Om van HSTS gebruik te kunnen maken moet de browser van de gebruiker wel een keer de HSTS-header van het betreffende domein hebben gezien. Iets wat in bepaalde gevallen nooit zal gebeuren.

Veel Amerikaanse overheidssites sturen bezoekers direct door van http://domain.gov naar https://www.domain.gov. Daarnaast zijn er veel overheidsdomeinen die alleen worden gebruikt voor het doorsturen naar de juiste locatie, bijvoorbeeld van http://source.gov naar https://destination.gov. In beide gevallen wordt https://domain.gov nooit bezocht en zal de browser van gebruikers niet de HSTS-header te zien krijgen.

Om ervoor te zorgen dat websites ook bij het allereerste bezoek alleen via https worden bezocht maken browsers gebruik van een HSTS-preloadlist. Deze lijst bevat hostnames waarvoor de browser automatisch een https-verbinding afdwingt. Domeineigenaren kunnen hun domeinen via hstspreload.org voor deze lijst aanmelden. Iets wat DotGov al sinds 2018 doet voor nieuwe federale overheidsdomeinen eindigend op .gov. Vanaf 1 september dit jaar wordt het voor alle nieuwe .gov-domeinen gedaan.

Het is echter ook mogelijk om een heel top level domain te preloaden. Deze maatregel zal echter pas over een paar jaar worden doorgevoerd. Wanneer dit nu zou worden gedaan zouden sommige Amerikaanse overheidssites die nog van http gebruikmaken niet meer voor gebruikers toegankelijk zijn. Daarom is er een stappenplan opgesteld om een mogelijke deadline voor het preloaden van de .gov-TLD vast te stellen en ervoor te zorgen dat .gov-domeineigenaren hiervoor klaar zijn.

Reacties (4)
23-06-2020, 12:46 door Anoniem
Geweldige conflatie van dns en 'web.
23-06-2020, 13:15 door Anoniem
Kun je zien hoe groot de invloed is geweest van de HTTPS-Only campagne en de aanvoerende rol van Google hierbij

Maar we ook zien, dat niet allles wat dit betreft volgens "best policies", dus reeds "hunky-dory" is.

Nu op naar het beter kunnen sanitizen van uri's.

#sockpuppet
23-06-2020, 14:25 door Briolet
Klinkt leuk dat alles via https moet, zodat er geen valse info in overheidspagina's geïnjecteerd kan worden.

Maar wat heb je eraan als zelfs de hoogste overheidsfunctionaris valse info aan het verspreiden is. Het verspreiden van valse informatie moet je eerst aan de top oplossen, want dat zijn de voorbeeldfiguren.
24-06-2020, 09:15 door Anoniem
Zou goed zijn als Nederland ook zo'n overheidsdomein zou gebruiken. *.gov.nl bijvoorbeeld.
rvig.nl, databronnencovid19.nl, cannabisbureau.nl... hoe zie je als burger nou dat dit overheid is? Een huisstijl is zo gemaakt. Volgens mij kan iedere gek een website in het leven roepen en doen alsof het van de overheid is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure