FS:Https-en-hsts: verschil tussen versies
(CSV-import FS-standaarden (gescraped)) |
k (Jdirks2 heeft pagina HTTPS en HSTS hernoemd naar HTTPS en HSTS: exacte ID van forumstandaardisatie.nl) |
||
Regel 1: | Regel 1: | ||
{{ | <!--TS:20180928000000-->{{FS-standaard | ||
|Naam=HTTPS en HSTS | |||
| | |Omschrijving=Veilig Webverkeer | ||
| | |Lijst=Verplicht (pas toe leg uit) | ||
| | |Nut=HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.<br /> | ||
De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken. | |||
|Waarvoor geldt de verplichting=De verplichting om HTTPS en HSTS te gebruiken geldt voor websites en webservers (server to client). | |||
|Beheerorganisatie=IETF | |Beheerorganisatie=IETF | ||
| | |Specificatiedocument=https://datatracker.ietf.org/doc/rfc2818/, https://tools.ietf.org/html/rfc6797 | ||
|Volledige naam=HyperText Transfer Protocol Secure en HTTPS Strict Transport Security | |||
|Versie=RFC2818, RFC6797 | |||
|Leveranciers=De volgende leveranciers hebben het leveranciersmanifest ondetekend en geven aan expertise m.b.t. deze standaard te bezitten:<br /> | |||
SIMgroep | |||
|CPV-code=48000000-8 Software en informatiesystemen | |||
|Hulpmiddelen=OWASP Testing for SSL/TLS | |||
|Conformiteitstest=Qualys SSL Labs<br /> | |||
Internet.nl | |||
|Relatie met andere standaarden=TLS, SOAP, SMTP, POP3, IMAP, SAML | |||
|Toelichting=De HTTPS standaard legt vast hoe het HTTP protocol beveiligd kan worden aan de hand van TLS. Hierdoor is een beveiligde verbinding over het internet mogelijk. | |||
|Domein=Internet & Beveiliging | |||
|Adoptieadviezen=Het Forum Standaardisatie stelt als doel dat alle overheidswebsites HTTPS en HSTS met de veilige configuratie conform NCSC uiterlijk eind 2018 hebben ingevoerd. Deze adoptie-impuls komt bovenop de bestaande afspraak van het Nationaal Beraad Digitale Overheid dat HTTPS voor eind 2017 moet zijn ingevoerd voor die overheidswebsites waar burgers en/of bedrijven gegevens invoeren (zoals in een contactformulier) of waarbij gegevens vooringevuld zijn.<br /> | |||
Bij de opname op de ‘pas toe of leg uit’-lijst doet het Forum Standaardisatie de volgende oproepen:<br /> | |||
Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.<br /> | |||
Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).<br /> | |||
Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.<br /> | |||
Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere KING/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.<br /> | |||
Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.<br /> | |||
Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.<br /> | |||
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie. | De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie. | ||
| | |||
| | |Functioneel toepassingsgebied=HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.<br /> | ||
|Datum van besluit | |||
| | |||
|Organisatorisch werkingsgebied=Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. | |||
|Toelichting bij opname=TLS 1.2 staat sinds 2014 op de 'pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'pas toe of leg uit' verplichting impliciet al voor HTTPS. <br /> | |||
Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de 'pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden.<br /> | |||
In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard HTTPS en HSTS aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document. | |||
|Datum van aanmelding=27-10-2016 | |||
|Datum van besluit=09-05-2017 | |||
|Documentatie=https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Reacties%20openbare%20consultatie%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20170419.2A%20Forumadvies%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Nationaal%20Beraad%20Advies%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_2.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_8.pdf | |||
}} | }} |
Versie van 19 jan 2023 03:40
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Https-en-hsts
Over de standaard | |
---|---|
Lijst status | |
Beschrijving | Veilig Webverkeer |
Uitleg | |
Nut |
HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn. |
Werking | Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl |
Waarvoor geldt de verplichting | De verplichting om HTTPS en HSTS te gebruiken geldt voor websites en webservers (server to client). |
Aanvullende verplichtingen | |
Trefwoorden | |
Detailinformatie | |
Beheerorganisatie | IETF |
Uitstekend beheer | |
Specificatiedocument | https://datatracker.ietf.org/doc/rfc2818/, https://tools.ietf.org/html/rfc6797 |
Volledige naam | HyperText Transfer Protocol Secure en HTTPS Strict Transport Security |
Versie | RFC2818, RFC6797 |
Inkoop | |
Aandachtspunten | |
Sjabloon-bestektekst | |
CPV-code(s) |
48000000-8 Software en informatiesystemen |
Implementatie | |
Conformiteitstest |
Qualys SSL Labs |
Domein | |
Relatie met andere standaarden | |
Toelichting | |
Toetsingsinformatie | |
Hulpmiddelen | |
Functioneel toepassingsgebied |
HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Toelichting bij opname | |
Datum van aanmelding | |
Datum van besluit | |
Europese status (MSP) | |
Documentatie |
|
Forum-Adviezen | |
Advies aan beheerder | |
Adoptieadviezen |
Het Forum Standaardisatie stelt als doel dat alle overheidswebsites HTTPS en HSTS met de veilige configuratie conform NCSC uiterlijk eind 2018 hebben ingevoerd. Deze adoptie-impuls komt bovenop de bestaande afspraak van het Nationaal Beraad Digitale Overheid dat HTTPS voor eind 2017 moet zijn ingevoerd voor die overheidswebsites waar burgers en/of bedrijven gegevens invoeren (zoals in een contactformulier) of waarbij gegevens vooringevuld zijn. |
Leveranciers |
De volgende leveranciers hebben het leveranciersmanifest ondetekend en geven aan expertise m.b.t. deze standaard te bezitten: |
- Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018_8.pdf (Definitief,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018 8.pdf,PDF Document)
- Expertadvies-HTTPS-en-HSTS.pdf (Expertadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Expertadvies-HTTPS-en-HSTS.pdf,PDF Document)
- FS170419.2A-Forumadvies-HTTPS-en-HSTS.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/FS170419.2A-Forumadvies-HTTPS-en-HSTS.pdf,PDF Document)
- FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_2.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden 2.pdf,PDF Document)
- Nationaal-Beraad-Advies-HTTPS-en-HSTS.pdf (Advies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Nationaal-Beraad-Advies-HTTPS-en-HSTS.pdf,PDF Document)
- Reacties-openbare-consultatie-HTTPS-en-HSTS.pdf (Consultatie,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Reacties-openbare-consultatie-HTTPS-en-HSTS.pdf,PDF Document)