FS:Https-en-hsts: verschil tussen versies

Uit NORA Online
FS:Https-en-hsts
Naar navigatie springen Naar zoeken springen
k (Tekst vervangen - '{{FS-standaard' door '<!--TS:20180928000000-->{{FS-standaard')
(Bijwerken eigenschappen 'waarvoor geldt de verplichting' en 'aanvullende verplichtingen' t.b.v. actualiteit (invoering wet digitale overheid per 1 juli 2023)
 
(15 tussenliggende versies door 4 gebruikers niet weergegeven)
Regel 1: Regel 1:
<!--TS:20180928000000-->{{FS-standaard
{{#element:
|Naam=HTTPS en HSTS
|Elementtype=FS-Standaard
|Omschrijving=Veilig Webverkeer
|Titel=HTTPS en HSTS
|Lijst=Verplicht (pas toe leg uit)
|Introductie=HTTPS is een protocol om webverkeer te versleutelen via een certificaat. Websitebezoekers herkennen zo’n verbinding aan ‘HTTPS://’ aan het begin van de link. Daarbovenop is er HSTS. Dat is een extra maatregel zodat er tijdens een bezoek niet (stiekem) teruggeschakeld kan worden naar een niet versleutelde HTTP-verbinding. Beide standaarden zijn basisbeveiliging tegen ongewenste omleidingen en het onderscheppen van webverkeer.
|Nut=HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.<br />
|Status lijst Forum Standaardisatie=Verplicht (pas toe leg uit)
De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt.  Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.
|Functioneel toepassingsgebied=HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
|Organisatorisch werkingsgebied=Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
|Omschrijving=Beveiligde websiteverbinding
|Nut=HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.


|Waarvoor geldt de verplichting=De verplichting om HTTPS en HSTS te gebruiken geldt voor websites en webservers (server to client).
Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.
|Werking=''HTTPS'' zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.


|Beheerorganisatie=IETF
''HSTS'' zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.
|Specificatiedocument=https://datatracker.ietf.org/doc/rfc2818/, https://tools.ietf.org/html/rfc6797
|Domein Forum Standaardisatie=Veilig internet
|Volledige naam=HyperText Transfer Protocol Secure en HTTPS Strict Transport Security
|Trefwoorden Forum Standaardisatie=Website, Informatiebeveiliging, Internet
|Versie=RFC2818, RFC6797
|Community=Het [https://internet.nl/about/ Platform Internetstandaarden] bevordert het gebruik van Internet veiligheidsstandaarden in Nederland.
|Leveranciers=De volgende leveranciers hebben het leveranciersmanifest ondetekend en geven aan expertise m.b.t. deze standaard te bezitten:<br />
|Toelichting bij opname lijst Forum Standaardisatie=TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. 
SIMgroep


|CPV-code=48000000-8 Software en informatiesystemen
Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de  'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden.
|Hulpmiddelen=OWASP Testing for SSL/TLS


|Conformiteitstest=Qualys SSL Labs<br />
Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] . 
Internet.nl
|Uitstekend beheer=Nee
|Datum van aanmelding lijst Forum Standaardisatie=2016-10-27
|Datum van besluit lijst Forum Standaardisatie=2017-05-09
|Volledige naam=HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS)
|Versie=1.2
|Specificatiedocument=https://www.rfc-editor.org/rfc/rfc9110 , https://tools.ietf.org/html/rfc6797
|Beheerorganisatie=IETF
|Aanvullende verplichtingen=HTTPS en HSTS zijn per 1 juli 2023 wettelijke verplicht volgens het [https://zoek.officielebekendmakingen.nl/stb-2023-179.html ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’] (Wet digitale overheid).
|Adoptieadviezen=Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:


|Relatie met andere standaarden=TLS, SOAP, SMTP, POP3, IMAP, SAML
# Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.
|Toelichting=De HTTPS standaard legt vast hoe het HTTP protocol beveiligd kan worden aan de hand van TLS. Hierdoor is een beveiligde verbinding over het internet mogelijk.
# Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).
# Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.
# Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.
# Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.
# Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.


|Domein=Internet & Beveiliging
|Adoptieadviezen=Het Forum Standaardisatie stelt als doel dat alle overheidswebsites HTTPS en HSTS met de veilige configuratie conform NCSC uiterlijk eind 2018 hebben ingevoerd.  Deze adoptie-impuls komt bovenop de bestaande afspraak van het Nationaal Beraad Digitale Overheid dat HTTPS voor eind 2017 moet zijn ingevoerd voor die overheidswebsites waar burgers en/of bedrijven gegevens invoeren (zoals in een contactformulier) of waarbij gegevens vooringevuld zijn.<br />
Bij de opname op de ‘pas toe of leg uit’-lijst doet het Forum Standaardisatie de volgende oproepen:<br />
Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.<br />
Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).<br />
Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.<br />
Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere KING/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.<br />
Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.<br />
Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.<br />
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
 
|Conformiteitstest=* [https://www.ssllabs.com/ssltest/ Qualys SSL Labs]
|Functioneel toepassingsgebied=HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebied door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.<br />
* [https://internet.nl Internet.nl]
 
* Pulse: [https://pulse.openstate.eu/https/domains/ De stand van zaken rondom HTTPS in de publieke sector]
 
|Melding bovenaan pagina=Let op: per 1 juli 2023 zijn overheidsorganisaties wettelijk verplicht om HTTPS en HSTS te gebruiken voor beveiligen van publiek toegankelijke websites en webapplicaties.
|Organisatorisch werkingsgebied=Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
|Opgenomen op Europese lijst MSP=Ja
 
|Waarvoor geldt de verplichting=Per 1 juli 2023 treedt [https://zoek.officielebekendmakingen.nl/stb-2023-179.html ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’] in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de [https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/standaardisatie-en-architectuur/open-standaarden/faq-verplichting-https-en-hsts-voor-overheidswebsites/ veelgestelde vragen] over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.
|Toelichting bij opname=TLS 1.2 staat sinds 2014 op de 'pas toe of leg uit lijst' van het Forum Standaardisatie.  Hiermee gold de 'pas toe of leg uit' verplichting impliciet al voor HTTPS. <br />
|Implementatiehulpmiddelen=* Factsheet NCSC [https://www.ncsc.nl/onderwerpen/verbindingsbeveiliging/documenten/factsheets/2019/juni/01/factsheet-https-kan-een-stuk-veiliger 'HTTPS kan een stuk veiliger']
Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de  'pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden.<br />
* Factsheet NCSC [https://www.ncsc.nl/documenten/publicaties/2021/januari/19/ict-beveiligingsrichtlijnen-voor-transport-layer-security-2.1 'ICT-beveiligingsrichtlijnen voor TLS']
In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis hebben we het functioneel toepassingsgebied van deze standaard HTTPS en HSTS aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.
* NCSC '[https://www.ncsc.nl/documenten/publicaties/2019/mei/01/ict-beveiligingsrichtlijnen-voor-webapplicaties ICT-beveiligingsrichtlijnen voor web applications]'
 
* NCSC '[https://www.ncsc.nl/actueel/factsheets/factsheet-veilig-beheer-van-digitale-certificaten.html Veilig beheer van digitale certificaten]'
|Datum van aanmelding=27-10-2016
|Concept-pagina FS=Nee
|Datum van besluit=09-05-2017
|Relatie met andere FS-standaarden=FS:Saml, FS:Soap, FS:Tls, FS:X509
|Documentatie=https://www.forumstandaardisatie.nl/sites/bfs/files/Expertadvies%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Reacties%20openbare%20consultatie%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20170419.2A%20Forumadvies%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Nationaal%20Beraad%20Advies%20HTTPS%20en%20HSTS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20171011.3E%20Forumadvies%20toepassingsgebieden%20IV-standaarden_2.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_8.pdf
}}
}}

Huidige versie van 13 jun 2023 om 17:11

Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Https-en-hsts

Let op: per 1 juli 2023 zijn overheidsorganisaties wettelijk verplicht om HTTPS en HSTS te gebruiken voor beveiligen van publiek toegankelijke websites en webapplicaties.
HTTPS is een protocol om webverkeer te versleutelen via een certificaat. Websitebezoekers herkennen zo’n verbinding aan ‘HTTPS://’ aan het begin van de link. Daarbovenop is er HSTS. Dat is een extra maatregel zodat er tijdens een bezoek niet (stiekem) teruggeschakeld kan worden naar een niet versleutelde HTTP-verbinding. Beide standaarden zijn basisbeveiliging tegen ongewenste omleidingen en het onderscheppen van webverkeer.
Over de standaard
Lijst status Verplicht (pas toe leg uit)
Beschrijving Beveiligde websiteverbinding
Uitleg
Nut

HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.

Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.
Werking

HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.

HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.
Waarvoor geldt de verplichting Per 1 juli 2023 treedt ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.
Aanvullende verplichtingen HTTPS en HSTS zijn per 1 juli 2023 wettelijke verplicht volgens het ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ (Wet digitale overheid).
Trefwoorden Website, Informatiebeveiliging, Internet
Detailinformatie
Beheerorganisatie IETF
Uitstekend beheerNee
Specificatiedocument https://www.rfc-editor.org/rfc/rfc9110 , https://tools.ietf.org/html/rfc6797
Volledige naam HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS)
Versie 1.2
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest
Domein

Veilig internet

Relatie met andere standaarden
Toelichting
Toetsingsinformatie
Hulpmiddelen
Functioneel toepassingsgebied HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
Organisatorisch werkingsgebied Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
Toelichting bij opname

TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. 

Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de  'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden.

Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis
Datum van aanmelding 2016-10-27
Datum van besluit 2017-05-09
Europese status (MSP) Ja
Documentatie
    Forum-Adviezen
    Advies aan beheerder
    Adoptieadviezen

    Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:

    1. Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.
    2. Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).
    3. Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.
    4. Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.
    5. Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.
    6. Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.
    De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.
    Leveranciers
    bijlagen:
    Copyright
    Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

    De omschrijving van het functionele gebruik van de voorziening

    Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

    Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Https-en-hsts&oldid=69231"