HTTPS en HSTS straks wettelijk verplicht voor overheidsorganisaties
Vorige maand werd de Wet digitale overheid (Wdo) door de Eerste Kamer aangenomen, waardoor de standaarden HTTPS en HSTS straks wettelijk verplicht voor overheidsorganisaties worden. Artikel 3 van deze wet geeft een grondslag voor het verplichten van open standaarden. Volgens het Forum Standaardisatie zijn HTTPS en HSTS grote kanshebbers om als eerste via artikel 3 van de Wdo verplicht te worden.
Al begin 2017 liet de minister van Binnenlandse Zaken weten dat HTTPS voor alle overheidssites verplicht zou worden. Naast HTTPS voor een beveiligde verbinding was het plan om ook HSTS te verplichten. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er door de gebruiker HTTP in de adresbalk ingevoerd. In 2019 kwam het kabinet vervolgens met een internetconsultatie over de verplichting.
Tijdens de aanschaf van ict-systemen en -diensten moeten overheidsorganisaties de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie raadplegen, en de standaarden die van toepassing zijn, gebruiken. Tenzij ze een zwaarwegende reden hebben om dat niet te doen. Het ‘Pas toe of leg uit’-beleid biedt ruimte aan publieke organisaties en overheidsorganisaties om in hun eigen tempo open standaarden te implementeren. Voor sommige standaarden gaat dat te langzaam, blijkt uit metingen die Forum Standaardisatie uitvoert (pdf). De wettelijke verplichting die nu kan worden doorgevoerd moet ervoor zorgen dat ook achterblijvende overheidsorganisaties in beweging komen.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Bij de webserver op mijn synology nas wordt bij HSTS standaard 6 maand aangehouden en dat is niet door gebruikers aan te passen. Als ik deze websites test via 'internet.nl" geeft deze site aan dat de instelling fout is en dat deze minimaal 1 jaar moet zijn. (dit komt gewoon uit de lucht vallen en ik kan geen onderbouwing vinden) In de overheidsstandaard kan ik nergens vinden wat de overheid als minimum moet gaan gebruiken.
Nooit meer iets van gehoord en ik kan ook nergens iets van mijn adviezen terugvinden. Fijne club die internetconsultatie - heel veel diepe laden.
Als ik binnenkort tijd overheb heb zal ik Bitwiper's tests eens herhalen voor een reeks overheidswebsites.
Aanvulling 19:59: onderaan https://security.nl/posting/566328:
4) Hoofddomeinen met GEHEEL GEEN ondersteuning voor https, noch voor HSTS (alleen http dus)
Overheidwebsites: https://uwv.nl/: "Unable to connect"
Winkels: https://cena.nl/: "Unable to connect"
[...]
https://uwv.nl/: "Unable to connect" (145.222.216.135:443 - connection refused) - ongewijzigd!
https://cena.nl/: certificaatfoutmelding: self signed voor CN=dummy.canda.com en geen subjectAltName voor "cena.nl". Na accepteren certificaat natuurlijk geen HSTS header (want dat zou een volgend bezoek van https://cena.nl/ blokkeren).
Ik verwacht niet veel verbeteringen...
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Hoi, Sicco hier van Open State Foundation. Het heeft inderdaad heel lang geduurd voor deze wet er was. Vanaf 2016/2017 hebben we met onze scans dit onder de aandacht gebracht. Op zich zag je toen al dar het gebruik van HTTPS/HSTS snel toenam. We voeren onze Pulse scans niet meer uit want https://basisbeveiliging.nl/ doet dit inmiddels stukken beter. Daar zie je dat goede configuratie en volledige adoptie van veilige verbindingen nog een heel eind moet komen.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Nergens voor nodig, alleen afhankelijk van de data die er overheen gaat.
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Ik ben zeer benieuwd naar de nieuwe scan van Open State Foundation over de status van dit alles.
We zaten in 2022 op 90% van 2386 domeinen dat https had. https://pulse.openstate.eu/https/agencies/
Al met al dus een volkomen wassen neus.
Dat geldt voor al je root certificaten. Daarvan moet je zelf de betrouwbaarheid vaststellen. Of je moet er op vertrouwen dat de browsermakers of de OS beheerder deze controle uitvoeren. (Afhankelijk van het OS kan het zijn dat de browser geen eigen roots beheert, maar dit aan het OS overlaat.)
En als je een root desondanks niet vertrouwd, kun je hem ook zelf als onbetrouwbaar markeren.
Ook deze site gaat geen enkele tegenkanting van echte spybedrijven doen. https is niets waard als je google facebook of wat dan ook implementeert dus ga even in een ander hoek pissen het stinkt hier al genoeg.
Hier is maar één woord geldig hun eigen mening
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
