FS:Https-en-hsts: verschil tussen versies
k (interne naar externe links vervangen) |
k (Introductie geplaatst) |
||
Regel 2: | Regel 2: | ||
|Elementtype=FS-Standaard | |Elementtype=FS-Standaard | ||
|Titel=HTTPS en HSTS | |Titel=HTTPS en HSTS | ||
| | |Introductie=HTTPS is een protocol om webverkeer te versleutelen via een certificaat. Websitebezoekers herkennen zo’n verbinding aan ‘HTTPS://’ aan het begin van de link. Daarbovenop is er HSTS. Dat is een extra maatregel zodat er tijdens een bezoek niet (stiekem) teruggeschakeld kan worden naar een niet versleutelde HTTP-verbinding. Beide standaarden zijn basisbeveiliging tegen ongewenste omleidingen en het onderscheppen van webverkeer. | ||
|Aanvullende verplichtingen=Voor HTTPS en HSTS heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten. | |||
|Adoptieadviezen=Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan: | |||
# Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken. | |||
# Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB). | |||
# Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt. | |||
# Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten. | |||
# Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren. | |||
# Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden. | |||
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie. | |||
|Beheerorganisatie=IETF | |||
|Conformiteitstest=* [https://www.ssllabs.com/ssltest/ Qualys SSL Labs] | |||
* [https://internet.nl Internet.nl] | |||
* Pulse: [https://pulse.openstate.eu/https/domains/ De stand van zaken rondom HTTPS in de publieke sector] | |||
|Datum van aanmelding lijst Forum Standaardisatie=2016-10-27 | |||
|Domein Forum Standaardisatie=Veilig internet | |||
|Functioneel toepassingsgebied=HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices. | |Functioneel toepassingsgebied=HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices. | ||
|Nut=HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen. | |Nut=HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen. | ||
Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt. | Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt. | ||
| | |Typering Forum Standaardisatie=Beveiligde websiteverbinding | ||
|Opgenomen op Europese lijst MSP=Ja | |||
|Organisatorisch werkingsgebied=Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. | |||
| | |||
| | |||
|Specificatiedocument=https://datatracker.ietf.org/doc/rfc2818/ , https://tools.ietf.org/html/rfc6797 | |Specificatiedocument=https://datatracker.ietf.org/doc/rfc2818/ , https://tools.ietf.org/html/rfc6797 | ||
| | |Status lijst Forum Standaardisatie=Verplicht (pas toe leg uit) | ||
|Toelichting bij opname lijst Forum Standaardisatie=TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. | |Toelichting bij opname lijst Forum Standaardisatie=TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. | ||
Regel 24: | Regel 34: | ||
Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] . | Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] . | ||
| | |Uitstekend beheer=Nee | ||
|Versie=1.2 | |||
|Volledige naam=HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS) | |||
|Werking=''HTTPS'' zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld. | |||
''HSTS'' zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt. | |||
|Community=Het [https://internet.nl/about/ Platform Internetstandaarden] bevordert het gebruik van Internet veiligheidsstandaarden in Nederland. | |||
|Datum van besluit lijst Forum Standaardisatie=2017-05-09 | |Datum van besluit lijst Forum Standaardisatie=2017-05-09 | ||
|Implementatiehulpmiddelen=* Factsheet Informatiebeveiligingsdienst ‘TLS zorgt voor veilige verbinding met de gemeentewebsite’ [https://www.informatiebeveiligingsdienst.nl/product/factsheet-tls-zorgt-voor-veilige-verbinding-met-de-gemeentewebsite-kort/ korte versie] en [https://www.informatiebeveiligingsdienst.nl/product/tls-zorgt-voor-veilige-verbinding-met-de-gemeentewebsite/ lange versie] | |Implementatiehulpmiddelen=* Factsheet Informatiebeveiligingsdienst ‘TLS zorgt voor veilige verbinding met de gemeentewebsite’ [https://www.informatiebeveiligingsdienst.nl/product/factsheet-tls-zorgt-voor-veilige-verbinding-met-de-gemeentewebsite-kort/ korte versie] en [https://www.informatiebeveiligingsdienst.nl/product/tls-zorgt-voor-veilige-verbinding-met-de-gemeentewebsite/ lange versie] | ||
* Factsheet NCSC [https://www.ncsc.nl/onderwerpen/verbindingsbeveiliging/documenten/factsheets/2019/juni/01/factsheet-https-kan-een-stuk-veiliger 'HTTPS kan een stuk veiliger'] | * Factsheet NCSC [https://www.ncsc.nl/onderwerpen/verbindingsbeveiliging/documenten/factsheets/2019/juni/01/factsheet-https-kan-een-stuk-veiliger 'HTTPS kan een stuk veiliger'] | ||
Regel 43: | Regel 47: | ||
* Factsheet NCSC '[https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties ICT-beveiligingsrichtlijnen voor web applications]' | * Factsheet NCSC '[https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties ICT-beveiligingsrichtlijnen voor web applications]' | ||
* Factsheet NCSC '[https://www.ncsc.nl/actueel/factsheets/factsheet-veilig-beheer-van-digitale-certificaten.html Veilig beheer van digitale certificaten]' | * Factsheet NCSC '[https://www.ncsc.nl/actueel/factsheets/factsheet-veilig-beheer-van-digitale-certificaten.html Veilig beheer van digitale certificaten]' | ||
| | |Trefwoorden Forum Standaardisatie=Website, Informatiebeveiliging, Internet | ||
| | |Relatie met andere FS-standaarden=FS:saml, FS:soap, FS:tls, FS:x509 | ||
|Omschrijving=Beveiligde websiteverbinding | |||
| | |||
}} | }} |
Versie van 3 feb 2023 00:32
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Https-en-hsts
Over de standaard | |
---|---|
Lijst status | Verplicht (pas toe leg uit) |
Beschrijving | Beveiligde websiteverbinding |
Uitleg | |
Nut |
HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen. Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt. |
Werking |
HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld. HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt. |
Waarvoor geldt de verplichting | |
Aanvullende verplichtingen | Voor HTTPS en HSTS heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten. |
Trefwoorden | Website, Informatiebeveiliging, Internet |
Detailinformatie | |
Beheerorganisatie | IETF |
Uitstekend beheer | Nee |
Specificatiedocument | https://datatracker.ietf.org/doc/rfc2818/ , https://tools.ietf.org/html/rfc6797 |
Volledige naam | HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS) |
Versie | 1.2 |
Inkoop | |
Aandachtspunten | |
Sjabloon-bestektekst | |
CPV-code(s) | |
Implementatie | |
Conformiteitstest | |
Domein | |
Relatie met andere standaarden | |
Toelichting | |
Toetsingsinformatie | |
Hulpmiddelen |
|
Functioneel toepassingsgebied | HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Toelichting bij opname |
TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de 'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden. Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis . |
Datum van aanmelding | 2016-10-27 |
Datum van besluit | 2017-05-09 |
Europese status (MSP) | Ja |
Documentatie |
|
Forum-Adviezen | |
Advies aan beheerder | |
Adoptieadviezen |
Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:
|
Leveranciers |
- Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018_8.pdf (Definitief,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018 8.pdf,PDF Document)
- Expertadvies-HTTPS-en-HSTS.pdf (Expertadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Expertadvies-HTTPS-en-HSTS.pdf,PDF Document)
- FS170419.2A-Forumadvies-HTTPS-en-HSTS.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/FS170419.2A-Forumadvies-HTTPS-en-HSTS.pdf,PDF Document)
- FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_2.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden 2.pdf,PDF Document)
- Nationaal-Beraad-Advies-HTTPS-en-HSTS.pdf (Advies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Nationaal-Beraad-Advies-HTTPS-en-HSTS.pdf,PDF Document)
- Reacties-openbare-consultatie-HTTPS-en-HSTS.pdf (Consultatie,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/HTTPS en HSTS/Reacties-openbare-consultatie-HTTPS-en-HSTS.pdf,PDF Document)