Bewerken pagina: FS:Https-en-hsts
FS:Https-en-hsts
Naar navigatie springen
Naar zoeken springen
U hebt geen toestemming om deze pagina te bewerken, want:
De gevraagde handeling is voorbehouden aan gebruikers in een van de volgende groepen:
gebruikers
,
beheerders
, projectlid, secretaris.
U hebt geen rechten om de gevraagde handeling te verrichten.
Vul in dit formulier alle gegevens in van de standaard. Kies de (eventueel verkorte) naam van de standaard als paginanaam.
Elementtype
*
Het elementtype waaronder deze pagina valt. U kunt dit niet wijzigen omdat het formulier is afgestemd op het elementtype.
:
Titel
Wordt weergegeven titel van de pagina (zo lang de pagina in de standaard naamruimte staat). Bijzondere eigenschap, wordt gebruikt door de extensie "Semantic Title"
:
Introductie
Samenvatting die bovenaan de pagina staat
:
HTTPS is een protocol om webverkeer te versleutelen via een certificaat. Websitebezoekers herkennen zo’n verbinding aan ‘HTTPS://’ aan het begin van de link. Daarbovenop is er HSTS. Dat is een extra maatregel zodat er tijdens een bezoek niet (stiekem) teruggeschakeld kan worden naar een niet versleutelde HTTP-verbinding. Beide standaarden zijn basisbeveiliging tegen ongewenste omleidingen en het onderscheppen van webverkeer.
Status lijst Forum Standaardisatie
:
Archief
In behandeling
Aanbevolen
Verplicht (pas toe leg uit)
Functioneel toepassingsgebied
Beschrijf in welk functioneel gebied deze standaard toegepast dient te worden. Let wel, wijzigen van functioneel toepassingsgebied vindt alleen plaats als uitkomst van een toetsingsprocedure
:
HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
Organisatorisch werkingsgebied
Het organisatorische terrein waarbinnen de standaard van werking is. Let wel, wijzigen van functioneel toepassingsgebied vindt alleen plaats als uitkomst van een toetsingsprocedure
:
Omschrijving
Beschrijving in één regel waar iets voor dient
:
Nut
Bijdrage aan interoperabiliteit
:
HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen. Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.
Werking
Werking van de standaard: wat doet het?
:
''HTTPS'' zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld. ''HSTS'' zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.
Domein Forum Standaardisatie
Indeling in domeinen zoals gehanteerd door Forum Standaardisatie
:
Trefwoorden Forum Standaardisatie
:
Website
Informatiebeveiliging
Internet
Community
Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.
:
Het [https://internet.nl/about/ Platform Internetstandaarden] bevordert het gebruik van Internet veiligheidsstandaarden in Nederland.
Toelichting bij opname lijst Forum Standaardisatie
:
TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de 'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden. Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] .
Uitstekend beheer
Indicatie of het beheer voldoet aan de door het Forum Standaardisatie gestelde normen voor uitstekend beheer
:
Geen/onbekend
Ja
Nee
Nog niet getoetst
Datum van aanmelding lijst Forum Standaardisatie
Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.
:
Datum van besluit lijst Forum Standaardisatie
:
Volledige naam
De volledige naam (afkortingen uitgeschreven)
:
Versie
Versie van de standaard(en) die door het Bureau Forum Standaardisatie is opgenomen
:
Specificatiedocument
Links naar de specificatiedocument(en) van deze versie van de standaard
:
https://www.rfc-editor.org/rfc/rfc9110 , https://tools.ietf.org/html/rfc6797
Beheerorganisatie
Beheerorganisatie
:
Aandachtspunten
Beschrijf de eventuele aandachtspunten voor toepassing van de standaard.
:
Aanvullende verplichtingen
Beschrijf eventuele aanvullende verplichtingen bij toepassing van deze standaard.
:
HTTPS en HSTS zijn per 1 juli 2023 wettelijke verplicht volgens het [https://zoek.officielebekendmakingen.nl/stb-2023-179.html ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’] (Wet digitale overheid).
Adoptieadviezen
Adviezen vanuit het Forum Standaardisatie aan diverse betrokkenen om de adoptie van de standaard te bevorderen.
:
Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan: # Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken. # Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB). # Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt. # Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten. # Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren. # Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden. De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
Advies aan beheerder
Advies van de expert die de opname begeleidde aan de beheerder van de standaard.
:
CPV-code
categorie-code voor inkoop
:
Conformiteitstest
Hoe te controleren of een systeem/dienst voldoet aan de standaard
:
* [https://www.ssllabs.com/ssltest/ Qualys SSL Labs] * [https://internet.nl Internet.nl] * Pulse: [https://pulse.openstate.eu/https/domains/ De stand van zaken rondom HTTPS in de publieke sector]
Indiener
:
Leveranciers
:
Melding bovenaan pagina
:
Let op: per 1 juli 2023 zijn overheidsorganisaties wettelijk verplicht om HTTPS en HSTS te gebruiken voor beveiligen van publiek toegankelijke websites en webapplicaties.
Opgenomen op Europese lijst MSP
*
:
Ja
Nee
Praktijkvoorbeelden
Tijdelijk veld totdat er 'Praktijkvoorbeelden' als proxy-element zijn die praktijkvoorbeelden koppelen met meerdere standaarden
:
Sjabloon-bestektekst
Voorbeeld bestektekst om de standaard te eisen bij inkoop
:
Toelichting relatie met andere FS-standaarden
:
Waarvoor geldt de verplichting
Uitleg voor welke groepen of organisaties de verplichting wel en niet geldt
:
Per 1 juli 2023 treedt [https://zoek.officielebekendmakingen.nl/stb-2023-179.html ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’] in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de [https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/standaardisatie-en-architectuur/open-standaarden/faq-verplichting-https-en-hsts-voor-overheidswebsites/ veelgestelde vragen] over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.
Implementatiehulpmiddelen
:
* Factsheet NCSC [https://www.ncsc.nl/onderwerpen/verbindingsbeveiliging/documenten/factsheets/2019/juni/01/factsheet-https-kan-een-stuk-veiliger 'HTTPS kan een stuk veiliger'] * Factsheet NCSC [https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1 'ICT-beveiligingsrichtlijnen voor TLS'] * NCSC '[https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties ICT-beveiligingsrichtlijnen voor web applications]' * NCSC '[https://www.ncsc.nl/actueel/factsheets/factsheet-veilig-beheer-van-digitale-certificaten.html Veilig beheer van digitale certificaten]'
Video
Informatie over de video
:
Status toelichting
Leg hier uit waarom de pagina niet 'actueel' is, bijvoorbeeld waar het door is vervangen of wanneer het is vervallen. Leg ook links naar RFC's et cetera.
:
Status historie
per bulletpoint (regel beginnend met spatie) op welke datum, welke beheer-handeling is begonnen. met eventueel daarachter een toelichting.
:
Concept-pagina FS
*
als dit 'Ja' is, wordt de pagina niet gepubliceerd als RDF en wordt de pagina niet in bepaalde overzichten getoond.
:
Ja
Nee
Relatie met andere FS-standaarden
Toegestaan zijn (door komma's gescheiden) elementen van de volgende typen: FS-Standaard
:
SAML (FS:Saml)
SOAP (FS:Soap)
TLS (FS:Tls)
X509 (FS:X509)
Vrije tekst
U kunt hier extra informatie toevoegen. Deze zal onderaan de pagina getoond worden, maar is niet opvraagbaar via query's.
:
Meta-informatie
Samenvatting bewerking
U kunt hier een samenvatting of reden van de bewerking opgeven.
:
Samenvatting:
Dit is een kleine wijziging
Volg deze pagina
Pagina opslaan
Bewerking ter controle bekijken
Wijzigingen bekijken
Annuleren
Navigatiemenu
Persoonlijke hulpmiddelen
Account aanmaken
Aanmelden
Naamruimten
FS
Overleg
Nederlands
Weergaven
Lezen
Formulier bekijken
Geschiedenis weergeven
Meer
Pagina exporteren
Zoeken
Navigatie
NORA
Nieuws & Agenda
Laatste wijzigingen
Blijf op de hoogte
Hulp & contact
Ecosysteem
NORA Familie
GDI Architectuur
Architectuurafspraken
Overzicht
Kernwaarden
Kwaliteitsdoelen
Architectuurprincipes
Implicaties
Wijzigingen 1-1-2023
Lijsten & Verwijzingen
Beleidskaders
Standaarden
Bouwstenen
Begrippen
Architecturen
Gegevens-woordenboeken
Thema's
Overzicht
Beveiliging
Basisconcept van Dienstverlening
AI & Algoritmen
API
Data op het web
Duurzame Toegankelijkheid
Gegevensmanagement
Geo
IAM
Internationaal
Ketensturing
Mobiele apps
Privacy
Basisregistraties
Zaakgericht Werken
Overige onderwerpen
Vakmanschap
NORA-Instrumenten
PSA
NORA Review
NORA Vijflaagsmodel
Domeinen
Opleidingen
Community beginners
Visualisatie
Over NORA
Overzicht
NORA Beheer
NORA Gebruikersraad
Wijzigingsproces
Jaarplan
Kennismodel
Compliancy & Verantwoording
Hulpmiddelen
Verwijzingen naar deze pagina
Gerelateerde wijzigingen
Speciale pagina's