image

HTTPS en HSTS voortaan verplicht voor alle overheidswebsites en webapps

zondag 2 juli 2023, 21:43 door Redactie, 8 reacties

Overheidswebsites en webapplicaties moeten voortaan verplicht van HTTPS en HSTS gebruikmaken. De Wet digitale overheid (Wdo) die deze eisen stelt is gisteren in werking getreden. Al begin 2017 liet de minister van Binnenlandse Zaken weten dat HTTPS voor alle overheidssites verplicht zou worden. Naast HTTPS voor een beveiligde verbinding was het plan om ook HSTS te verplichten.

HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er door de gebruiker HTTP in de adresbalk ingevoerd. In 2019 kwam het kabinet vervolgens met een internetconsultatie over de verplichting. Tijdens de aanschaf van ict-systemen en -diensten moeten overheidsorganisaties de ‘Pas toe of leg uit’-lijst van Forum Standaardisatie raadplegen, en de standaarden die van toepassing zijn, gebruiken. Tenzij ze een zwaarwegende reden hebben om dat niet te doen.

Het ‘Pas toe of leg uit’-beleid biedt ruimte aan publieke organisaties en overheidsorganisaties om in hun eigen tempo open standaarden te implementeren. Voor sommige standaarden gaat dat te langzaam, blijkt uit metingen die Forum Standaardisatie uitvoert (pdf). De Wdo moet ervoor zorgen dat ook achterblijvende overheidsorganisaties als het om HSTS en HTTPS gaat in beweging komen. Daarnaast moet de HTTPS-configuratie voldoen aan de TLS-richtlijnen en Webapplicatie-richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Het Forum Standaardisatie organiseert aanstaande woensdag 5 juli voor overheidsinstanties een "open spreekuur" over het verplicht toepassen van HTTPS en HSTS.

Reacties (8)
02-07-2023, 22:05 door Anoniem
Het wordt tijd dat we poort 80 http gaan uitzetten. Zijn er nog browsers die er naar toe gaan i.p.v. dat ze standaard al 443 gebruiken?
02-07-2023, 22:08 door Anoniem
Voor meer achtergrondinformatie zie de pagina met “Veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites” op https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/wetgeving/wet-digitale-overheid/veelgestelde-vragen-verplichting-https-en-hsts-voor-overheidswebsites/.
02-07-2023, 22:45 door Anoniem
HSTS linke soep. Want als een overheidsinstantie ineens van IP moet veranderen dan gaan browsers de openbare diensten blokkeren. De overheidsdienst werkt dan nog prima, maar de spullen van de burger slaan dan op slot. Het is als een betonnen muur om het gemeentehuis zetten, maar dan binnen zeggen dat ze gewoon open zijn.
03-07-2023, 00:22 door Erik van Straten - Bijgewerkt: 03-07-2023, 00:47
Door Anoniem: Het wordt tijd dat we poort 80 http gaan uitzetten.
Dan gaat er veel stuk. Sowieso gaan OCSP en CRL via poort 80. Maar ook veel netwerkapparatuur (waaronder de meeste thuisrouters) en andere IoT-spulleboel kun je niet betrouwbaar via https benaderen. Voor een geldig https servercertificaat heb je namelijk een unieke, publiek bekende, domeinnaam nodig (door KPN verstrekte routers bieden schijnveiligheid).

Maar ook Windows Updates gaan nog grotendeels via http.

Door Anoniem: Zijn er nog browsers die er naar toe gaan i.p.v. dat ze standaard al 443 gebruiken?
Ja. Sterker, voor zover ik weet staat, bij de enkele browser die "https-only" ondersteunt, die instelling standaard uit. Daarbij is het schandalig hoeveel links op webpagina's nog met http:// beginnen, terwijl "op papier" en op TV zelden een protocol genoemd wordt.

HSTS helpt niet als de door jou gebruikte webbrowser geen (niet verlopen) HSTS-registratie van een website heeft en die browser geen "https-only" instelling heeft die áán staat: als je dan security.nl invult in de adresbalk van jouw browser, wordt er verbinding gemaakt via poort 80. Onder ongunstige omstandigheden (bijv. public WiFi) kan zo'n verbinding eenvoudig worden gekaapt.

Als jouw browser bij http://http.badssl.com zonder waarschuwing een rode pagina laat zien, staat "https-only" niet aan.
03-07-2023, 00:25 door Erik van Straten
Door Anoniem:HSTS linke soep. Want als een overheidsinstantie ineens van IP moet veranderen dan gaan browsers de openbare diensten blokkeren.
Dit is totale onzin. HSTS heeft niets met IP-adressen te maken.
03-07-2023, 08:49 door Anoniem
Door Anoniem: Het wordt tijd dat we poort 80 http gaan uitzetten. Zijn er nog browsers die er naar toe gaan i.p.v. dat ze standaard al 443 gebruiken?
''

Waarom zouden we poort 80 uit gaan zetten? Gewoon niet voor dit soort sites gebruiken, Dat heeft toch niets verder met http of poort 80 te maken?

Dat is net zoiets als ... telnet moet dicht!!! Gooi het op de brandstapel. Ze bedoelen dan eigenlijk: Het Prococol! telnet niet gebruiken ... maar in de praktijk zie je dan dat poort 23 wordt uitgezet. of ... het commando telnet zelf verwijderen :D
03-07-2023, 11:19 door Anoniem
gewoon je verbinding verplicht op https://...zetten ook in je browser instellingen (flag ) verplicht https......ok
03-07-2023, 16:25 door Anoniem
Door Anoniem: HSTS linke soep. Want als een overheidsinstantie ineens van IP moet veranderen dan gaan browsers de openbare diensten blokkeren. De overheidsdienst werkt dan nog prima, maar de spullen van de burger slaan dan op slot. Het is als een betonnen muur om het gemeentehuis zetten, maar dan binnen zeggen dat ze gewoon open zijn.

HSTS zou niet gevoelig moeten zijn voor IP changes. Kun je dit toelichten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.