HTTPS en HSTS
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Actueel
- Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
- Naam
- HTTPS en HSTS
- ID
HTTPS en HSTS
- Type
- Publicatiedatum
- 2017/05/09
- Versie
- RFC2818, RFC6797
- Wijzigingsdatum
- Laag Vijflaagsmodel
Beveiligde websiteverbinding
HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.
De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.
HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding.
HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.
Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.- Nut: HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.
Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.
- Werking: 'HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.
HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
- Organisatorisch werkingsgebied: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
- Waarvoor geldt de verplichting: Per 1 juli 2023 treedt ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.
Meer informatie
- https://www.forumstandaardisatie.nl/standaard/https-en-hsts-0
- https://www.rfc-editor.org/rfc/rfc9110, https://tools.ietf.org/html/rfc6797
- Beheerorganisatie: IETF
Wordt gebruikt in
Gegevenswoordenboek stedelijk waterbeheer (GWSW)Realiseert
Lijst Open Standaarden voor Pas Toe of Leg UitToepassing in voorzieningen en bouwstenen
Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
---|---|---|---|---|---|
BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BAG (Basisregistratie Adressen en Gebouwen) | HTTPS en HSTS zijn deels geïmplementeerd. (zie: https://internet.nl/domain/www.kadaster.nl/) Eerdere planningen voor volledige implementatie in Q1 en Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is nog geen duidelijke planning voor. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
BRO (Basisregistratie Ondergrond) | BRO website (https://www.basisregistratieondergrond.nl), BRO web applicaties (DINO | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
BRT (Basisregistratie Topografie) | HTTPS en HSTS zijn deels geïmplementeerd (zie: https://internet.nl/domain/www.kadaster.nl/). Eerdere planningen voor (volledige) implementatie in Q1 en in Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is hier nog geen duidelijke planning voor. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
BRV (Basisregistratie Voertuigen) | Implementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/mail/rdw.nl/253063/. De RDW is in 2017 gestart met een nieuwe leverancier die ook maatregelen voor het aanscherpen van DANE, DKIM, SPF, etc. zou meenemen. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. De onderwerpen zoals DANE, DKIM, SPF, etc. zijn ook onderdeel van deze verbeteringen en de verwachting is dat RDW dit komende jaar de verbeteringen heeft doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Berichtenbox voor bedrijven | HTTPS/HSTS is al operationeel op de Berichtenbox maar is nog niet volledig geïmplementeerd. HTTPS/HSTS wordt RvO breed gerealiseerd (overgang naar nieuwe SOAP versie; zogenaamde cloud migratie), staat gepland voor realisatie uiterlijk medio 2021. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
DigiD | DigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt de DigiD website HSTS-policy met een geldigheidsduur van 1 jaar (zie: https://internet.nl/site/digid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
DigiD Machtigen | Deze standaarden zijn geïmplementeerd (zie: https://internet.nl/site/machtigen.digid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
DigiInkoop | De voorziening voldoet aan HTTPS/HSTS. Opvallend is dat internet.nl dat niet goed vast kan stellen (zie https://internet.nl/site/digiinkoop.nl/). Hier wordt nog verder onderzoek naar gedaan. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Digilevering | Digilevering voldoet aan de HTTPS standaard. Voor Digilevering is een PKIO certificaat verplicht om te kunnen aanloggen op de applicatie. Zonder dit certificaat kan de https doorverwijzing niet slagen en biedt www.internet.nl geen toetsing. HSTS wordt aangeboden. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Digimelding | De url https://portaal.digimelding.nl voldoet aan HTTPS en HSTS. Digimelding portaal is alleen benaderbaar via de url https://portaal.digimelding.nl | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Digipoort | De voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
EHerkenning Idensys Stelsel Elektronische Toegangsdiensten | HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie en deelnemers in het stelsel. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
HR (Basisregistratie Handelsregister) | De voorziening gebruikt zowel HTTPS als HSTS. Alleen voor kvk.nl werkt HSTS niet, dit is in 2019 hersteld. Was nog niet gebeurd omdat kvk.nl alleen redirect naar www.kvk.nl en deze werkt wel onder HSTS. Er was en is dus geen security risico. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
MijnOverheid | HTTPS wordt toegepast voor zowel het domein mijn.overheid.nl, als mijnoverheid.nl. HSTS wordt toegepast voor het domein mijn.overheid.nl. HSTS voor mijnoverheid.nl is niet van toepassing, omdat die enkel redirect naar mijn.overheid.nl. | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Ondernemersplein | Aan deze standaard wordt voldaan voor het domein kvk.nl | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Samenwerkende catalogi | De validator van Samenwerkende Catalogi voldoet niet meer aan HTTPS. Gepland is om dit mee te nemen in de migratie naar een andere provider. De verwachting is dat dit in 2020 gaat plaatsvinden. | voldoet niet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Standard Business Reporting (SBR) | De voorziening voldoet aan HTTPS en HSTS. Zie: https://internet.nl/site/sbr-nl.nl/563965/ | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Stelselcatalogus | De voorziening voldoet niet meer aan HTTPS (zie: https://internet.nl/site/www.stelselcatalogus.nl/). De website www.stelselcatalogus.nl zal voor eind 2019 worden voorzien van een certificaat. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Website RDW.nl | Implementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/site/rdw.nl/. De RDW is in 2017 gestart met een nieuwe leverancier. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. Medio 2020 is deze verbetering doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
GBA-V (GBA Verstrekkingsvoorziening) Beheervoorziening BSN | Alle aangeboden webservices draaien HTTPS en HSTS. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Doc-Direkt | De standaard wordt toegepast. De laatste open realisatie is de website www.handelingenbank.nl. De certificaat aanvraag loopt en realisatie in 4e kwartaal 2018 is niet gehaald. Nieuwe planning voor implementatie is 4e kwartaal 2019. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
DWR (Digitale Werkomgeving Rijksdienst) | HTTPS wordt gebruikt, maar HSTS wordt nog niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS. Implementatie van deze standaarden is voor eind 2019 voorzien. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
ODC-Noord | De cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar, een aantal websites draaien op HSTS. Alle sites, met uitzondering van sso-noord.nl zijn voorzien van een SSL-certificaat. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven. https://internet.nl/site/odc-noord.nl/574389/#control-panel-21; https://internet.nl/site/sso-noord.nl/574393/#control-panel-11 https://internet.nl/site/rijkscloud.nl/574696/#sitetls. | voldoet deels | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Overheid.nl | Overheid.nl voldoet aan HTTPS en HSTS (zie: https://internet.nl/site/overheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
P-Direkt | HTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is volledig geïmplementeerd op de interne en externe site van P-Direkt. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
PDOK | Er is een probleem met HSTS-policy via pdok.nl (zie: https://internet.nl/site/pdok.nl). Melding gemaakt om opgelost te worden. Verwachting is dat dit in juli 2020 opgelost wordt. | gepland | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
PKIoverheid | Deze standaard wordt toegepast door de voorziening (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). Voor logius.nl, crl.pkioverheid.nl en cert.pkioverheid.nl is HTTPS goed geconfigureerd. pkioverheid.nl en www.pkioverheid.nl verwijzen door (oftewel 'redirecten') naar cert.overheid.nl. Alleen voor deze domeinen faalt de test op het punt "HTTPS-doorverwijzing". Met het ingaan van het nieuwe contract is het compliant maken aan de open standaarden van de website pkioverheid.nl een van de projecten die hierin is opgenomen. | voldoet deels | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
Rijksoverheid.nl | De voorziening voldoet aan deze standaard (zie: https://internet.nl/site/www.rijksoverheid.nl/). | voldoet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |
TenderNed | De client-server communicatie van TenderNed is beveiligd met HTTPS en niet met HSTS (zie: https://internet.nl/site/www.tenderned.nl/). | voldoet niet | van toepassing | Monitor Open Standaarden 2020 | 11 februari 2021 |