HTTPS en HSTS
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Actueel
- Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
- Naam
- HTTPS en HSTS
- ID
HTTPS en HSTS
- Type
- Publicatiedatum
- 2017/05/09
- Versie
- RFC2818, RFC6797
- Wijzigingsdatum
- Laag Vijflaagsmodel
HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.
De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.
HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding.
HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.
Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.- Nut: HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.
Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.
- Werking: 'HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.
HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
- Organisatorisch werkingsgebied: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
- Waarvoor geldt de verplichting: Per 1 juli 2023 treedt ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.
Meer informatie
- https://www.forumstandaardisatie.nl/standaard/https-en-hsts-0
- https://www.rfc-editor.org/rfc/rfc9110, https://tools.ietf.org/html/rfc6797
- Beheerorganisatie: IETF
Wordt gebruikt in
Gegevenswoordenboek stedelijk waterbeheer (GWSW)Realiseert
Lijst Open Standaarden voor Pas Toe of Leg UitToepassing in voorzieningen en bouwstenen
Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
---|---|---|---|---|---|
BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BAG (Basisregistratie Adressen en Gebouwen) | HTTPS en HSTS zijn deels geïmplementeerd. (zie: https://internet.nl/domain/www.kadaster.nl/) Eerdere planningen voor volledige implementatie in Q1 en Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is nog geen duidelijke planning voor. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
BRO (Basisregistratie Ondergrond) | BRO website (https://www.basisregistratieondergrond.nl), BRO web applicaties (DINO | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
BRT (Basisregistratie Topografie) | HTTPS en HSTS zijn deels geïmplementeerd (zie: https://internet.nl/domain/www.kadaster.nl/). Eerdere planningen voor (volledige) implementatie in Q1 en in Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is hier nog geen duidelijke planning voor. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
BRV (Basisregistratie Voertuigen) | Implementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/mail/rdw.nl/253063/. De RDW is in 2017 gestart met een nieuwe leverancier die ook maatregelen voor het aanscherpen van DANE, DKIM, SPF, etc. zou meenemen. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. De onderwerpen zoals DANE, DKIM, SPF, etc. zijn ook onderdeel van deze verbeteringen en de verwachting is dat RDW dit komende jaar de verbeteringen heeft doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Berichtenbox voor bedrijven | De Berichtenbox voor bedrijven voldoet volledig aan HTTPS en HSTS. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
DigiD | DigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt DigiD de HSTS-policy met een geldigheidsduur van 1 jaar (zie: https://internet.nl/site/digid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
DigiD Machtigen | DigiD Machtigen maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. De DigiD Machtigen website heeft ook een HSTS-policy (zie: https://internet.nl/site/machtigen.digid.nl/). Tot nader orde wordt nog gebruik gemaakt van PKIOverheid certificaten van publieke CA2020. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
DigiInkoop | De voorziening voldoet aan HTTPS en HSTS. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
Digilevering | Digilevering voldoet aan de HTTPS standaard. Voor Digilevering is een PKIO certificaat verplicht om te kunnen aanloggen op de applicatie. Zonder dit certificaat kan de https doorverwijzing niet slagen en biedt www.internet.nl geen toetsing. HSTS wordt aangeboden. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Digimelding | De url https://portaal.digimelding.nl voldoet aan HTTPS en HSTS. Digimelding portaal is alleen benaderbaar via de url https://portaal.digimelding.nl | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Digipoort | De voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
EHerkenning Idensys Stelsel Elektronische Toegangsdiensten | HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie en deelnemers in het stelsel. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
HR (Basisregistratie Handelsregister) | De voorziening gebruikt zowel HTTPS als HSTS. Alleen voor kvk.nl werkt HSTS niet, dit is in 2019 hersteld. Was nog niet gebeurd omdat kvk.nl alleen redirect naar www.kvk.nl en deze werkt wel onder HSTS. Er was en is dus geen security risico. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
MijnOverheid | Deze standaard wordt toegepast. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
Ondernemersplein | Aan deze standaard wordt voldaan voor het domein kvk.nl. HSTS is aanwezig op ondernemersplein.kvk.nl, huidige instellingen worden binnenkort herzien. | voldoet niet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
Samenwerkende catalogi | De SC API (zoekdienst.overheid.nl) voldoet niet volledig. De verwachting is dat de voorziening in 2022 gaat voldoen. | gepland | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
Standard Business Reporting (SBR) | De voorziening voldoet aan HTTPS en HSTS. Zie: https://internet.nl/site/sbr-nl.nl/563965/ | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Stelselcatalogus | De voorziening voldoet niet meer aan HTTPS (zie: https://internet.nl/site/www.stelselcatalogus.nl/). De website www.stelselcatalogus.nl zal voor eind 2019 worden voorzien van een certificaat. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
WOZ Waardeloket | HTTPS en HSTS zijn geïmplementeerd (zie: https://internet.nl/site/www.wozwaardeloket.nl). | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
Website RDW.nl | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 | |
GBA-V (GBA Verstrekkingsvoorziening) Beheervoorziening BSN | Alle aangeboden webservices draaien HTTPS en HSTS. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Doc-Direkt | De standaard wordt toegepast. De laatste open realisatie is de website www.handelingenbank.nl. De certificaat aanvraag loopt en realisatie in 4e kwartaal 2018 is niet gehaald. Nieuwe planning voor implementatie is 4e kwartaal 2019. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
DWR (Digitale Werkomgeving Rijksdienst) | HTTPS wordt gebruikt, maar HSTS wordt nog niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS. Implementatie van deze standaarden is voor eind 2019 voorzien. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
ODC-Noord | De cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar, een aantal websites draaien op HSTS. Alle sites, met uitzondering van sso-noord.nl zijn voorzien van een SSL-certificaat. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven. https://internet.nl/site/odc-noord.nl/574389/#control-panel-21; https://internet.nl/site/sso-noord.nl/574393/#control-panel-11 https://internet.nl/site/rijkscloud.nl/574696/#sitetls. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Overheid.nl | Overheid.nl voldoet aan HTTPS en HSTS (zie: https://internet.nl/site/overheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
P-Direkt | HTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is volledig geïmplementeerd op de interne en externe site van P-Direkt. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
PDOK | HSTS-policy wordt gebruikt, de webservers ondersteunen HSTS. Uit de test op internet.nl komen nog enkele issue’s naar voren die bekend zijn. We zijn in overleg met de leverancier om verbeteringen door te voeren rondom HTTPS en HSTS. | voldoet niet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
PKIoverheid | Deze standaard wordt toegepast door de voorziening (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). Voor logius.nl, crl.pkioverheid.nl en cert.pkioverheid.nl is HTTPS goed geconfigureerd. De redirects www.pkioverheid.nl en pkioverheid.nl zijn inmiddels (tijdelijk) uitgezet/verwijderd. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
Rijksoverheid.nl | De voorziening voldoet aan deze standaard (zie: https://internet.nl/site/www.rijksoverheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |
TenderNed | Configuratie aanpassing is doorgevoerd om ook HSTS volledig te ondersteunen. | voldoet | van toepassing | Monitor Open Standaarden 2022 | 18 november 2022 |