HTTPS en HSTS

Uit NORA Online
Ga naar: navigatie, zoeken


Standaard.png
Naam: HTTPS en HSTS
ID: HTTPS en HSTS
Type: Standaard

Publicatiedatum: 2017/05/09
Versie: RFC2818, RFC6797


HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd tussen een client en server versleuteld, waardoor de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd voor een derde -bijvoorbeeld een aanvaller die probeert de gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd te onderscheppen- niet leesbaar zijn.

De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.

HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding.

HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.

Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.

Waar toepasbaar

  • Toepassingsgebied: HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
  • Werkingsgebied: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.


Meer informatie



  • Beheerorganisatie: NEN/ISO





Toepassing in voorzieningen en bouwstenen

Voorziening Toelichting Oordeel Relevantie Volgens bron Gepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
HTTPS is correct geconfigureerd (en wordt afgedwongen) en alleen HSTS ontbreekt nog (zie https://internet.nl/domain/www.kadaster.nl/87074). Dit wordt na 8 september opgepakt, met verwachte implementatie per Q1 2018. gepland van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
BRT (Basisregistratie Topografie) HTTPS wordt al toegepast, HSTS nog niet (zie https://internet.nl/domain/www.kadaster.nl/87074). Dit wordt na 8 september 2017 opgepakt, met verwachte implementatie per Q1 2018. gepland van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
BRV (Basisregistratie Voertuigen) HSTS gaat Fujitsu activeren voor de HTTPS ingangen die onderdeel zijn van de nieuwe werkplek omgeving. Voor de RDW diensten omgeving wordt HSTS geactiveerd bij de overgang van TMG naar F5. Dit wordt voor 1 juli 2018 gerealiseerd. gepland van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Berichtenbox voor bedrijven HTTPS is geïmplementeerd, maar HSTS wordt niet afgedwongen (zie https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/91865). voldoet niet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DigiD DigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt de DigiD website HSTS-policy met een geldigheidsduur van 1 jaar (zie https://internet.nl/domain/digid.nl/87081). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DigiD Machtigen Deze standaarden zijn geimplementeerd (zie https://internet.nl/site/machtigen.digid.nl/91888). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DigiInkoop De voorziening voldoet aan HTTPS, maar niet aan HSTS Hiervoor bestaat nog geen planning. Volgens https://internet.nl/mail/digiinkoop.nl/36515 voldoet de voorziening naast HTTPS ook wel aan HSTS. voldoet niet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Digilevering Digilevering voldoet aan de HTTPS standaard. Aan HSTS wordt niet voldaan. *)
  • ) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Digimelding Digilevering voldoet aan de HTTPS standaard. HSTS wordt niet toegepast. *)
  • ) Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.
voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Digipoort De voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
MijnOverheid Deze standaard wordt toegepast. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
NHR (Basisregistratie Handelsregister) De voorziening gebruikt beide HTTPS, maar nog niet HSTS (zie https://internet.nl/site/www.kvk.nl/87180). De planning is om HSTS Q4 2017 nog te gaan ondersteunen. gepland van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Stelsel Elektronische Toegangsdiensten HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Stelselcatalogus De HTTPS implementatie staat gepland voor medio Q4 2017. HSTS wordt nog niet geïmplementeerd. voldoet niet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
BV BSN (Beheervoorziening BSN)
GBA-V (GBA Verstrekkingsvoorziening)
Alle aangeboden webservices draaien HTTPS en HSTS. voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Doc-Direkt Ook hierover loopt een onderzoek over de mogelijke toepassing van deze standaard in de toekomst. De uitkomsten daarvan zijn naar verwachting in het eerste kwartaal van 2018 bekend. voldoet niet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
DWR (Digitale Werkomgeving Rijksdienst) HTTPS wordt gebruikt, maar HSTS wordt niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS. voldoet deels van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
ODC-Noord De cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar een aantal websites draaien op HSTS. De overige websites worden in de loop van 2017 aangepast. voldoet deels van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Overheid.nl Het portaal-gedeelte (www.overheid.nl) voldoet aan de standaard (zie https://internet.nl/domain/www.overheid.nl/87086). Een aantal sub-sites staat nog gepland om in 2017 aan deze standaarden te laten voldoen. gepland van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
P-Direkt HTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is nog niet geïmplementeerd. voldoet niet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
PKIoverheid Deze standaard wordt toegepast door de voorziening (zie https://internet.nl/domain/crl.pkioverheid.nl/87088 en https://internet.nl/domain/www.logius.nl/87089). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
Rijksoverheid.nl De voorziening voldoet aan deze standaard (zie https://internet.nl/site/www.rijksoverheid.nl/86909). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018
TenderNed De client-server communicatie van TenderNed is beveiligd met HTTPS en HSTS (zie https://internet.nl/site/www.tenderned.nl/86922). voldoet van toepassing Monitor Open Standaardenbeleid 2017 8 maart 2018

Toelichting: Bouwstenen en gebruikte standaarden

Persoonlijke instellingen
Naamruimten

Varianten
Handelingen
Hulpmiddelen