HTTPS en HSTS

Uit NORA Online
Ga naar: navigatie, zoeken


Standaard.png
Naam: HTTPS en HSTS
ID: HTTPS en HSTS
Type: StandaardPublicatiedatum: 2017/05/09
Versie: RFC2818, RFC6797
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl
Veilig Webverkeer


HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tussen een client en server versleuteld, waardoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor een derde -bijvoorbeeld een aanvaller die probeert de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te onderscheppen- niet leesbaar zijn.

De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.

HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding.

HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.

Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.

  • Nut: HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tussen een client en server versleuteld, waardoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor een derde -bijvoorbeeld een aanvaller die probeert de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te onderscheppen- niet leesbaar zijn.

De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt.  Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.


Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
  • Waarvoor geldt de verplichting: De verplichting om HTTPS en HSTS te gebruiken geldt voor websites en webservers (server to client).

Meer informatie

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
HTTPS is correct geconfigureerd (en wordt afgedwongen) en alleen HSTS ontbreekt nog (zie https://internet.nl/domain/www.kadaster.nl/87074). Dit wordt na 8 september opgepakt, met verwachte implementatie per Q1 2018.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
BRT (Basisregistratie Topografie)HTTPS wordt al toegepast, HSTS nog niet (zie https://internet.nl/domain/www.kadaster.nl/87074). Dit wordt na 8 september 2017 opgepakt, met verwachte implementatie per Q1 2018.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
BRV (Basisregistratie Voertuigen)HSTS gaat Fujitsu activeren voor de HTTPS ingangen die onderdeel zijn van de nieuwe werkplek omgeving. Voor de RDW diensten omgeving wordt HSTS geactiveerd bij de overgang van TMG naar F5. Dit wordt voor 1 juli 2018 gerealiseerd.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
Berichtenbox voor bedrijvenHTTPS is geïmplementeerd, maar HSTS wordt niet afgedwongen (zie https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/91865).voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiDDigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt de DigiD website HSTS-policy met een geldigheidsduur van 1 jaar (zie https://internet.nl/domain/digid.nl/87081).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiD MachtigenDeze standaarden zijn geimplementeerd (zie https://internet.nl/site/machtigen.digid.nl/91888).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigiInkoopDe voorziening voldoet aan HTTPS, maar niet aan HSTS Hiervoor bestaat nog geen planning. Volgens https://internet.nl/mail/digiinkoop.nl/36515 voldoet de voorziening naast HTTPS ook wel aan HSTS. voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigileveringDigilevering voldoet aan de HTTPS standaard. Aan HSTS wordt niet voldaan. *)
  • ) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
DigimeldingDigilevering voldoet aan de HTTPS standaard. HSTS wordt niet toegepast. *)
  • ) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
  • voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    DigipoortDe voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    MijnOverheidDeze standaard wordt toegepast.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    NHR (Basisregistratie Handelsregister)De voorziening gebruikt beide HTTPS, maar nog niet HSTS (zie https://internet.nl/site/www.kvk.nl/87180). De planning is om HSTS Q4 2017 nog te gaan ondersteunen.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Stelsel Elektronische ToegangsdienstenHTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    StelselcatalogusDe HTTPS implementatie staat gepland voor medio Q4 2017. HSTS wordt nog niet geïmplementeerd.voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    BV BSN (Beheervoorziening BSN)
    GBA-V (GBA Verstrekkingsvoorziening)
    Alle aangeboden webservices draaien HTTPS en HSTS.voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Doc-DirektOok hierover loopt een onderzoek over de mogelijke toepassing van deze standaard in de toekomst. De uitkomsten daarvan zijn naar verwachting in het eerste kwartaal van 2018 bekend.voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    DWR (Digitale Werkomgeving Rijksdienst)HTTPS wordt gebruikt, maar HSTS wordt niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS.voldoet deelsvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    ODC-NoordDe cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar een aantal websites draaien op HSTS. De overige websites worden in de loop van 2017 aangepast.voldoet deelsvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Overheid.nlHet portaal-gedeelte (www.overheid.nl) voldoet aan de standaard (zie https://internet.nl/domain/www.overheid.nl/87086). Een aantal sub-sites staat nog gepland om in 2017 aan deze standaarden te laten voldoen.geplandvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    P-DirektHTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is nog niet geïmplementeerd.voldoet nietvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    PKIoverheidDeze standaard wordt toegepast door de voorziening (zie https://internet.nl/domain/crl.pkioverheid.nl/87088 en https://internet.nl/domain/www.logius.nl/87089).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Rijksoverheid.nlDe voorziening voldoet aan deze standaard (zie https://internet.nl/site/www.rijksoverheid.nl/86909).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    TenderNedDe client-server communicatie van TenderNed is beveiligd met HTTPS en HSTS (zie https://internet.nl/site/www.tenderned.nl/86922).voldoetvan toepassingMonitor Open Standaardenbeleid 20178 maart 2018
    Toelichting: Bouwstenen en gebruikte standaarden