HTTPS en HSTS

Uit NORA Online
Naar navigatie springen Naar zoeken springen


Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
Naam
HTTPS en HSTS
ID

HTTPS en HSTS

Type

Standaard

Publicatiedatum
2017/05/09
Versie
RFC2818, RFC6797
Wijzigingsdatum
Laag Vijflaagsmodel
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: HTTPS en HSTS


Beveiligde websiteverbinding
HTTPS is een uitbreiding op het HTTP-protocol met als doel de veilige uitwisseling van gegevens tussen een (web)server en client. Bij gebruik van HTTPS worden de gegevens tussen een client en server versleuteld, waardoor de gegevens voor een derde -bijvoorbeeld een aanvaller die probeert de gegevens te onderscheppen- niet leesbaar zijn.

De HSTS standaard zorgt ervoor dat een client -doorgaans een browser- weet dat een server met HTTPS bereikbaar is, en voor alle vervolgbezoeken een versleutelde verbinding gebruikt. Dit helpt voorkomen dat een derde -bijvoorbeeld een kwaadaardige WiFi hotspot- een browser kan omleiden naar een valse website. Daarom heeft het veel zin om HTTPS samen met HSTS te gebruiken.

HTTP Strict Transport Security (HTTPS) bestaat uit het gebruik van HTTP over een met TLS beveiligde verbinding.

HSTS zorgt ervoor dat een browser eist dat een website altijd HTTPS blijft gebruiken na het eerste contact over HTTPS.

Door HTTPS samen met HSTS te gebruiken wordt het gebruik van beveiligde verbindingen naar zoveel mogelijk afgedwongen. Dit maakt het voor hackers en cybercriminelen moeilijker om verkeer om te leiden naar valse websites, en om de inhoud van webverkeer te onderscheppen.
  • Nut: HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.

Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.

  • Werking: 'HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.

HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.


Waar toepasbaar

  • Functioneel toepassingsgebied: HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.
  • Organisatorisch werkingsgebied: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector.
  • Waarvoor geldt de verplichting: Per 1 juli 2023 treedt ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties.

Meer informatie

Wordt gebruikt in

Gegevenswoordenboek stedelijk waterbeheer (GWSW)

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
BAG (Basisregistratie Adressen en Gebouwen)
HTTPS en HSTS zijn deels geïmplementeerd. (zie: https://internet.nl/domain/www.kadaster.nl/) Eerdere planningen voor volledige implementatie in Q1 en Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is nog geen duidelijke planning voor.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
BRO (Basisregistratie Ondergrond)BRO website (https://www.basisregistratieondergrond.nl), BRO web applicaties (DINOvoldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
BRT (Basisregistratie Topografie)HTTPS en HSTS zijn deels geïmplementeerd (zie: https://internet.nl/domain/www.kadaster.nl/). Eerdere planningen voor (volledige) implementatie in Q1 en in Q4 2018 zijn niet gehaald. HSTS is inmiddels op de meeste Kadaster endpoints geïmplementeerd. Er is een beperkte set aan Digikoppeling gerelateerde content (schema’s) die nog niet over kunnen naar HTTPS en HSTS. Er is hier nog geen duidelijke planning voor.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
BRV (Basisregistratie Voertuigen)Implementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/mail/rdw.nl/253063/. De RDW is in 2017 gestart met een nieuwe leverancier die ook maatregelen voor het aanscherpen van DANE, DKIM, SPF, etc. zou meenemen. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. De onderwerpen zoals DANE, DKIM, SPF, etc. zijn ook onderdeel van deze verbeteringen en de verwachting is dat RDW dit komende jaar de verbeteringen heeft doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Berichtenbox voor bedrijvenHTTPS/HSTS is al operationeel op de Berichtenbox maar is nog niet volledig geïmplementeerd. HTTPS/HSTS wordt RvO breed gerealiseerd (overgang naar nieuwe SOAP versie; zogenaamde cloud migratie), staat gepland voor realisatie uiterlijk medio 2021.geplandvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiDDigiD maakt gebruik van HTTPS voor de communicatie tussen clients (zoals browsers) en servers. Verder ondersteunt de DigiD website HSTS-policy met een geldigheidsduur van 1 jaar (zie: https://internet.nl/site/digid.nl/).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiD MachtigenDeze standaarden zijn geïmplementeerd (zie: https://internet.nl/site/machtigen.digid.nl/).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigiInkoopDe voorziening voldoet aan HTTPS/HSTS. Opvallend is dat internet.nl dat niet goed vast kan stellen (zie https://internet.nl/site/digiinkoop.nl/). Hier wordt nog verder onderzoek naar gedaan.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
DigileveringDigilevering voldoet aan de HTTPS standaard. Voor Digilevering is een PKIO certificaat verplicht om te kunnen aanloggen op de applicatie. Zonder dit certificaat kan de https doorverwijzing niet slagen en biedt www.internet.nl geen toetsing. HSTS wordt aangeboden. Digimelding en Digilevering zijn op het Equinix platform geïmplementeerd, de applicaties kunnen alleen via de mail-relay server van het platform e-mail versturen. Deze mail –relay server is niet van buitenaf benaderbaar, daarom kan dit met internet.nl niet getoetst worden.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigimeldingDe url https://portaal.digimelding.nl voldoet aan HTTPS en HSTS. Digimelding portaal is alleen benaderbaar via de url https://portaal.digimelding.nlvoldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
DigipoortDe voorziening voldoet aan HTTPS. Formeel wordt niet aan HSTS voldaan, maar de standaard HTTP (poort 80) is bij de voorziening helemaal niet ontsloten, zodat feitelijk alleen via HTTPS een verbinding gemaakt kan worden. In de geest voldoet de voorziening dus impliciet wel aan HSTS.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
EHerkenning
Idensys
Stelsel Elektronische Toegangsdiensten
HTTPS en HSTS wordt toegepast op alle websites en webapplicaties onder beheer van de beheerorganisatie en deelnemers in het stelsel.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
HR (Basisregistratie Handelsregister)De voorziening gebruikt zowel HTTPS als HSTS. Alleen voor kvk.nl werkt HSTS niet, dit is in 2019 hersteld. Was nog niet gebeurd omdat kvk.nl alleen redirect naar www.kvk.nl en deze werkt wel onder HSTS. Er was en is dus geen security risico.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
MijnOverheidHTTPS wordt toegepast voor zowel het domein mijn.overheid.nl, als mijnoverheid.nl. HSTS wordt toegepast voor het domein mijn.overheid.nl. HSTS voor mijnoverheid.nl is niet van toepassing, omdat die enkel redirect naar mijn.overheid.nl.voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
OndernemerspleinAan deze standaard wordt voldaan voor het domein kvk.nlvoldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
Samenwerkende catalogiDe validator van Samenwerkende Catalogi voldoet niet meer aan HTTPS. Gepland is om dit mee te nemen in de migratie naar een andere provider. De verwachting is dat dit in 2020 gaat plaatsvinden.voldoet nietvan toepassingMonitor Open Standaarden 202011 februari 2021
Standard Business Reporting (SBR)De voorziening voldoet aan HTTPS en HSTS. Zie: https://internet.nl/site/sbr-nl.nl/563965/voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
StelselcatalogusDe voorziening voldoet niet meer aan HTTPS (zie: https://internet.nl/site/www.stelselcatalogus.nl/). De website www.stelselcatalogus.nl zal voor eind 2019 worden voorzien van een certificaat.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
Website RDW.nlImplementatie zou medio 2018 gerealiseerd worden. Rdw.nl voldoet niet aan de standaard, zie: https://internet.nl/site/rdw.nl/. De RDW is in 2017 gestart met een nieuwe leverancier. Doordat de implementatie van de digitale werkomgeving langer heeft geduurd dan beoogd, is dit tot op heden nog niet uitgevoerd. Augustus 2019 is RDW gestart om privacy en security verder te gaan verbeteren. Medio 2020 is deze verbetering doorgevoerd. De diensten op (voertuig)gegevens, die als microservices in de Azure cloud draaien, voldoen wel aan HTTPS/HSTS.geplandvan toepassingMonitor Open Standaarden 202011 februari 2021
GBA-V (GBA Verstrekkingsvoorziening)
Beheervoorziening BSN
Alle aangeboden webservices draaien HTTPS en HSTS.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
Doc-DirektDe standaard wordt toegepast. De laatste open realisatie is de website www.handelingenbank.nl. De certificaat aanvraag loopt en realisatie in 4e kwartaal 2018 is niet gehaald. Nieuwe planning voor implementatie is 4e kwartaal 2019.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
DWR (Digitale Werkomgeving Rijksdienst)HTTPS wordt gebruikt, maar HSTS wordt nog niet standaard aangezet voor websites die SSC-ICT host voor klanten. Andere webgebaseerde voorzieningen maken wel gebruik van HSTS. Implementatie van deze standaarden is voor eind 2019 voorzien.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
ODC-NoordDe cloud dashboards zijn allemaal uitsluitend via HTTPS benaderbaar, een aantal websites draaien op HSTS. Alle sites, met uitzondering van sso-noord.nl zijn voorzien van een SSL-certificaat. Het domein sso-noord.nl wordt voor 1 januari 2020 opgeheven. https://internet.nl/site/odc-noord.nl/574389/#control-panel-21; https://internet.nl/site/sso-noord.nl/574393/#control-panel-11 https://internet.nl/site/rijkscloud.nl/574696/#sitetls.voldoet deelsvan toepassingMonitor Open Standaarden 201927 maart 2020
Overheid.nlOverheid.nl voldoet aan HTTPS en HSTS (zie: https://internet.nl/site/overheid.nl/).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
P-DirektHTTPS is 100% doorgevoerd voor alle communicatie met klanten. HSTS is volledig geïmplementeerd op de interne en externe site van P-Direkt.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020
PDOKEr is een probleem met HSTS-policy via pdok.nl (zie: https://internet.nl/site/pdok.nl). Melding gemaakt om opgelost te worden. Verwachting is dat dit in juli 2020 opgelost wordt.geplandvan toepassingMonitor Open Standaarden 202011 februari 2021
PKIoverheidDeze standaard wordt toegepast door de voorziening (zie: https://internet.nl/domain/crl.pkioverheid.nl/ en https://internet.nl/domain/www.logius.nl/). Voor logius.nl, crl.pkioverheid.nl en cert.pkioverheid.nl is HTTPS goed geconfigureerd. pkioverheid.nl en www.pkioverheid.nl verwijzen door (oftewel 'redirecten') naar cert.overheid.nl. Alleen voor deze domeinen faalt de test op het punt "HTTPS-doorverwijzing". Met het ingaan van het nieuwe contract is het compliant maken aan de open standaarden van de website pkioverheid.nl een van de projecten die hierin is opgenomen.voldoet deelsvan toepassingMonitor Open Standaarden 202011 februari 2021
Rijksoverheid.nlDe voorziening voldoet aan deze standaard (zie: https://internet.nl/site/www.rijksoverheid.nl/).voldoetvan toepassingMonitor Open Standaarden 202011 februari 2021
TenderNedDe client-server communicatie van TenderNed is beveiligd met HTTPS en niet met HSTS (zie: https://internet.nl/site/www.tenderned.nl/).voldoet nietvan toepassingMonitor Open Standaarden 202011 februari 2021
Toelichting: Bouwstenen en gebruikte standaarden