HTTPS en HSTS

Uit NORA Online
Ga naar: navigatie, zoeken


Standaard.png
Naam: HTTPS en HSTS
ID: HTTPS en HSTS
Type: Standaard
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified): 2017/05/09
Versie: RFC2818, RFC6797
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl
Veilig Webverkeer


HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.

De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.

HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding.

HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.

Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.

  • Nut: HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.

De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt.  Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.



Waar toepasbaar

  • Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening: HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.Op 24 mei 2018 is de omschrijving van het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) opnieuw bekrachtigd.

 

  • Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
  • Waarvoor geldt de verplichting: De verplichting om HTTPS en HSTS te gebruiken geldt voor websites en webservers (server to client).

Meer informatie

Wordt gebruikt in

Gegevenswoordenboek stedelijk waterbeheer (GWSW)

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
HTTPS en HSTS zijn deels geïmplementeerd. (zie: https://internet.nl/domain/www.kadaster.nl/) Eerdere planningen voor volledige implementatie in Q1 en Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is nog geen duidelijke planning voor.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)BRO website (https://www.basisregistratieondergrond.nl), BRO web applicaties (DINOvoldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRT (Basisregistratie Topografie)HTTPS en HSTS zijn deels geïmplementeerd (zie: https://internet.nl/domain/www.kadaster.nl/). Eerdere planningen voor (volledige) implementatie in Q1 en in Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is hier nog geen duidelijke planning voor.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)Implementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/mail/rdw.nl/253063/. De RDW is in 2017 gestart met een nieuwe leverancier die ook maatregelen voor het aanscherpen van DANE, DKIM, SPF, etc. zou meenemen. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. De onderwerpen zoals DANE, DKIM, SPF, etc. zijn ook onderdeel van deze verbeteringen en de verwachting is dat RDW dit komende jaar de verbeteringen heeft doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Berichtenbox voor bedrijvenHTTPS en HSTS zijn geïmplementeerd (zie: https://internet.nl/site/www.berichtenbox.antwoordvoorbedrijven.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiDDigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt de DigiD website HSTS-policy met een geldigheidsduur van 1 jaar (zie: https://internet.nl/site/digid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiD MachtigenDeze standaarden zijn geïmplementeerd (zie: https://internet.nl/site/machtigen.digid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigiInkoopDe voorziening voldoet aan HTTPS/HSTS (zie https://internet.nl/site/digiinkoop.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigileveringDigilevering voldoet aan de HTTPS standaard. Voor Digilevering is een PKIO certificaat verplicht om te kunnen aanloggen op de applicatie. Zonder dit certificaat kan de https doorverwijzing niet slagen en biedt www.internet.nl geen toetsing. HSTS wordt aangeboden. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigimeldingDe url https://portaal.digimelding.nl voldoet aan HTTPS en HSTS. Digimelding portaal is alleen benaderbaar via de url https://portaal.digimelding.nlvoldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigipoortDe voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Stelsel Elektronische Toegangsdiensten
Idensys
EHerkenning
HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
MijnOverheidDeze standaard wordt toegepast (zie: https://internet.nl/mail/mijnoverheid.nl/ en https://internet.nl/mail/mijn.overheid.nl/). HTTPS wordt toegepast voor zowel het domein mijn.overheid.nl, als mijnoverheid.nl. HSTS wordt toegepast voor het domein mijn.overheid.nl. HSTS voor mijnoverheid.nl is niet van toepassing, omdat die enkel redirect naar mijn.overheid.nl.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
NHR (Basisregistratie Handelsregister)De voorziening gebruikt zowel HTTPS als HSTS. Alleen voor kvk.nl werkt hsts niet, dit wordt in 2019 hersteld. Was nog niet gebeurd om kvk.nl alleen redirect naar www.kvk.nl en deze werkt wel onder hsts. Er was en is dus geen security risico.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
OndernemerspleinAan deze standaard wordt voldaan voor het domein ondernemersplein.nl (zie: https://internet.nl/site/www.ondernemersplein.nl/), maar voor het domein ondernemersplein.kvk.nl geldt dat HSTS niet is geïmplementeerd (zie: https://internet.nl/site/ondernemersplein.kvk.nl/577753/#). – De HSTS Policy komt naar verwachting eind november 2019 live.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Samenwerkende catalogiDe validator van Samenwerkende Catalogi is in de tweede helft van juli 2019 gemigreerd naar een ander platform. Op dit moment worden alle relevante standaarden geïmplementeerd: HTTPS en HSTS, SPF, DMARC, TLS. Verwachting is dat dit Q3 2019 gereed is.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
Standard Business Reporting (SBR)De voorziening voldoet aan HTTPS en HSTS. Zie: https://internet.nl/site/sbr-nl.nl/563965/voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
StelselcatalogusDe voorziening voldoet niet meer aan HTTPS (zie: https://internet.nl/site/www.stelselcatalogus.nl/). De website www.stelselcatalogus.nl zal voor eind 2019 worden voorzien van een certificaat.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
BV BSN (Beheervoorziening BSN)
GBA-V (GBA Verstrekkingsvoorziening)
Alle aangeboden webservices draaien HTTPS en HSTS.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Doc-DirektDe standaard wordt toegepast. De laatste open realisatie is de website www.handelingenbank.nl. De certificaat aanvraag loopt en realisatie in 4e kwartaal 2018 is niet gehaald. Nieuwe planning voor implementatie is 4e kwartaal 2019.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)HTTPS wordt gebruikt, maar HSTS wordt nog niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS. Implementatie van deze standaarden is voor eind 2019 voorzien.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordDe cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar, een aantal websites draaien op HSTS. Alle sites, met uitzondering van sso-noord.nl zijn voorzien van een SSL-certificaat. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven. https://internet.nl/site/odc-noord.nl/574389/#control-panel-21; https://internet.nl/site/sso-noord.nl/574393/#control-panel-11 https://internet.nl/site/rijkscloud.nl/574696/#sitetls.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlHTTPS en HSTS zijn doorgevoerd op overheid.nl (zie https://internet.nl/site/www.overheid.nl/). Op een aantal sub-domeinen is HTTPS wel ingesteld, maar de configuratie voor HSTS-policy nog niet helemaal correct. Dit wordt in de zomer van 2019 hersteld.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
P-DirektHTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is volledig geïmplementeerd op de interne en externe site van P-Direkt.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
PKIoverheidDeze standaard wordt toegepast door de voorziening (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/).

Voor logius.nl, crl.pkioverheid.nl en cert.pkioverheid.nl is HTTPS goed geconfigureerd. pkioverheid.nl en www.pkioverheid.nl verwijzen door (oftewel ‘redirecten’) naar cert.overheid.nl.

Alleen voor deze domeinen faalt de test op het punt “HTTPS-doorverwijzing”.
voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Rijksoverheid.nlDe voorziening voldoet aan deze standaard (zie: https://internet.nl/site/www.rijksoverheid.nl/).voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
TenderNedDe client-server communicatie van TenderNed is beveiligd met HTTPS, maar niet met HSTS (zie: https://internet.nl/site/www.tenderned.nl/).voldoet nietvan toepassingMonitor Open Standaarden 201927 maart 2020
Toelichting: Bouwstenen en gebruikte standaarden