Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 38 reacties

Van alle overheidswebsites heeft slechts 19 procent ondersteuning voor https. Dat blijkt uit onderzoek van de Open State Foundation. Een nog kleiner deel van de overheidswebsites dwingt een veilige verbinding af, blijkt uit het onderzoek.

Gebrek aan sslIn totaal nam de Open State Foundation, een organisatie die zegt voor een transparante overheid te willen zorgen, 2093 actieve websites van de overheid onder de loep. Van die websites bleken er slechts 413 een https-verbinding te ondersteunen, wat neerkomt op 19 procent. Van de bijna 2100 onderzochte overheidswebsites dwong slechts een op de twintig standaard een versleutelde verbinding af.

De lijst met onderzochte websites is afkomstig van de Rijksoverheid zelf; niet-actieve websites en redirects naar andere domeinnamen zijn niet meegerekend. De Open State Foundation noemt het lage aantal websites met ssl-ondersteuning opvallend, aangezien het Nationaal Cyber Security Centrum van de overheid websites die gevoelig data behandelen juist adviseert om https te gebruiken.

Onder meer de website van de Belastingdienst ondersteunt geen https. Een https-verbinding wordt wel opgezet zodra een gebruiker inlogt, waarbij een andere domeinnaam dan Belastingdienst.nl wordt gebruikt, maar een gebruiker kan dan al het slachtoffer geworden van een ssl-stripping-attack. Daarbij kan een aanvaller de eerste, onversleutelde pageview gebruiken om een lagere graad van beveiliging af te dwingen. Bovendien laten websites zonder https derden uitlezen welke pagina's gebruikers bezoeken als ze de verbinding kunnen onderscheppen, bijvoorbeeld op een openbare wifi-hotspot.

Het onderzoek van de OSF komt aan het begin van de Cyber Security Week van de overheid, die gepaard gaat met twee grote beveiligingsconferenties in Den Haag. Samen met het Ministerie van Buitenlandse Zaken houdt de OSF vrijdag daarnaast een 'tegenconferentie'.

In december stelde Google voor om het alle sites zonder ssl-versleuteling in Google Chrome als onveilig te markeren. Op dit moment geven browsers enkel een waarschuwing als een certificaat niet klopt, maar niet als er helemaal geen versleuteling plaatsvindt. Het beveiligingsteam van Chrome stelt voor om daar verandering in te brengen, met een kleurensysteem in de navigatiebalk. Daarbij zouden sites met enkel http als het meest onveilig moeten worden gemarkeerd.

Moderatie-faq Wijzig weergave

Reacties (38)

Dat je bij overheidswebsites geen https hebt is ronduit schandalig, maar om nou alle websites zonder https als onveilig te markeren? Niet iedere website heeft https nodig.

Mijn website bijvoorbeeld is puur een fotografie portfolio en er worden totaal geen gegevens op en neer verzonden in de zin van een formulier of iets dergelijks. Waarom dan https?
Hetzelfde is te zeggen van de websites van de Rijksoverheid. Het lijstje met feestdagen of de pagina met persberichten van een willekeurig ministerie. Moet dat via https?

Https is nuttig zodra je ergens moet inloggen of gegevens moet achterlaten. Voor het opvragen van normale niet gevoelige informatie is https niet noodzakelijk.
Dat is een redelijk verouderde kijk op HTTPS. De Amerikaanse and Britse overheden hebben zich al uitgesproken voor HTTPS op elk overheidsdomein. Dit verhelderende artikel, Why we use HTTPS for every .gov we make, zet de voordelen voor je op een rijtje:
  • Veilige verbinding: er kan niet geknoeid worden met websites (een potentieel phising probleem!) en natuurlijk het beschermen van de verstuurde (privacygevoelige) data
  • Privé-verbinding: "there is no such thing as insensitive browsing data", al helemaal bij overheidswebsites
  • Snelle verbinding: HTTPS maakt het gebruik van SPDY mogelijk, waardoor de site sneller geladen wordt
  • SEO: search engines hebben een steeds grotere voorkeur voor websites met HTTPS
Een website met HTTPS is tegenwoordig gewoon best-practice, en dat verwacht ik dan dus van de overheid.

[Reactie gewijzigd door AgamemnonZ op 13 april 2015 12:15]

HTTPS sneller? Via speedy is het hooguit minder langzaam. De extra handshakes en encryptslagen zullen altijd betekenen dat je de website minder sneller zult zien. Ook wordt er minder gecached, waardoor je nog meer verbindingen nodig hebt en data moet downloaden.
SPDY (inmiddels HTTP/2) zorgt voor snellere verbindingen. Voor SPDY is HTTPS nodig (het is geen harde technische eis, maar het lijkt erop dat o.a. Firefox en Chrome enkel HTTPS via SPDY accepteren). Dus als normaal HTTP in de praktijk niet geaccepteerd wordt in HTTP/2 en HTTPS wel dan is HTTPS sneller.
Er is een ander probleem, dat in het artikel kort genoemd wordt. ssl-stripping is een techniek die bruikbaar is in een man in the middle scenario. Stel, jij gaat naar de belastingdienst, en zoekt eerst wat 'onbelangrijke' informatie op over een reguliere http-verbinding. Daarna klik je op inloggen o.i.d. en wordt er een https-verbinding opgezet.. Niet dus! De aanvaller zal de link naar de inlogpagina aanpassen zodat er in plaats van https gewoon onversleuteld http gebruikt wordt. Je logt in en bent je credentials kwijt.

http is dus al een risico als er via klikken een 'gevoelige' pagina over https geladen kan worden, aangezien een aanvaller door simpelweg een <a> tag aan te passen de versleutelde verbinding kan vermijden.

edit: aanvulling. Ik vind het overigens een erg raar idee van Google, het lijkt me niet de bedoeling om websites zonder logins e.d. (wat toch nog steeds een significant deel van de websites is) 'af te straffen' door ze als onveilig te bestempelen..

[Reactie gewijzigd door Monochrome op 13 april 2015 10:25]

In Nederland misschien wel, maar er zijn zat landen waar het ook fijn kan zijn om informatie via beveiligd via https te kunnen opzoeken, of om software via https te kunnen downloaden om zo zeker te weten dat het om het juiste bestand gaat.
Overheden die niet het beste voorhebben met de privacy kunnen (het is misschien ver gezocht) websites met info aanpassen of links/gedeeltes van pagina's verbergen of alteren, of een copy van java.com of flash.com opzetten met Trojan downloads in de installer.
Voor mensen die onder regimes leven met wat minder vriendelijke privacy wetgeving is het fijn dat ze informatie via beveiligde verbinding kunnen binnenhalen.
Https gaat niet alleen om inloggegevens, het geeft ook garanties dat de informatie daadwerkelijk zo is verstuurd als jij die ontvangt. Dat is bij overheidsgegevens belangrijk: als iemand dat onderschept en aanpast, bv wetteksten en informatie verandert, kan dat zeer schadelijk zijn. Bij een portfolio niet zo'n enorm probleem (maar wel vervelend) maar bij overheidsinformatie niet aanvaardbaar.
Ik moet zeggen dat dat wel extreem vergezocht is imo. Dat je de pagina van iemand die naar een wettekst zoekt aanpast zodat hij eigenlijk denkt dat er wat anders staat? Dat zie ik echt nooit gebeuren.

Ik vind het ook erg vreemd om te stellen dat het echt niet nodig is om alle webpagina's met https te versleutelen (mee eens), maar dat het voor de overheid absoluut wel noodzakelijk is. Het vuilnisschema van mijn wijk, of de openingstijden van het gemeentehuis, waarom moeten die met https versleuteld worden?
Uit privacyoverwegingen vind ik dat zelfs de domeinnaam versleuteld zou moeten worden, maar dat is technisch niet mogelijk. Ook iemand die een fotografiewebsite bezoekt mag van mij geheim houden dat hij een voorkeur heeft voor van die lelijke betonnen jaren 60/70-bunkers, of er zelf voor kiezen die informatie te delen. Onverstelutelde verbindingen maken het relatief makkelijk, zeker op publieke hotspots, om dit in te zien van anderen.
Versleutelde verbindingen versleutelen ook bijna alle meta-data, zoals hostname en opgevraagde pagina. Eigenlijk kun je alleen het op ip-adres zien waar men verbinding mee maakt. Als je toch wilt monitoren wat de gebruiker doet, zou ik ook zijn DNS requests monitoren, dan kun je alsnog de opgevraagde hostname zien.
Bijna goed, sinds SNI is ingevoerd voor TLS is de hostname in de nonce boodschap beschikbaar.

https://en.wikipedia.org/wiki/Server_Name_Indication

zodat het juiste certificaat voor verificatie gekozen kan worden.

[Reactie gewijzigd door tweaknico op 13 april 2015 11:27]

Bij een risicio-analyse kijk je niet enkel naar de kans of een gebeurtenis zich kan voordoen, maar ook naar hoe erg de gevolgen kunnen zijn.
Als één of andere lolbroek/terroristische organisatie dan toch de wetteksten aanpast, dan kan dit een reële impact hebben op de samenleving. Dit kan lange tijd ongemerkt gaan, omdat het zo banaal lijkt. Stel nu dat de kwaadaardigen plots uitzonderingen toevoegen aan de verkeerswet waarbij je 120 mag rijden in de bebouwde kom, sommigen zullen dit voor waarheid aanzien en vervolgens gaan brokkenrijden. Extreem voorbeeld, maar het kan ongewenste resultaten opleven.

De vuilnisophaling of openingstijden hebben een iets minder groot gevolg voor de samenleving. Ook al vind ik dat ook hier HTTPS van toepassing is.
Valt meteen op bij het bezwaarschrift. Wetsaanpassing is niet gepubliceerd in de Staatscourant.
Het vuilnisschema van mijn wijk, of de openingstijden van het gemeentehuis, waarom moeten die met https versleuteld worden?
Omdat je via die pagina misschien doorklikt naar een andere pagina waar je wel https zou wensen.
maar een gebruiker kan dan al het slachtoffer geworden van een ssl-stripping-attack. Daarbij kan een aanvaller de eerste, onversleutelde pageview gebruiken om een lagere graad van beveiliging af te dwingen.
Omdat het een website van de overheid is zou je ook alles waar naar doorgelinkt wordt moeten kunnen vertrouwen.

[Reactie gewijzigd door gwie op 13 april 2015 09:09]

Het is slechts één voorbeeld, je zou ook links die op de site staan aan kunnen passen, waardoor je denkt doorgelinked te worden naar een vertrouwde DigiD site, maar dit is vervolgens een phishing pagina.
Dat lijkt inderdaad tamelijk onschuldig. Maar als het gaat om lopende insolventies en faillissementen, of vergunningen / vergunningsaanvragen (waarbij men bv geen protest wil hebben, of de termijn verdoezelt), of uitbraak van besmettelijke ziekten / vervoersverboden (veehouderij bv) dan ligt dat alweer anders. Zowel onterechte vermeldingen als het verwijderen van vermeldingen kan dan tot werkelijke schade leiden. Gaat om informatie die publiek toegankelijk is en waarvoor je niet hoeft in te loggen, maar de informatie moet wel kloppen.

Dan zou je weer onderscheid kunnen maken met wat wel en wat niet belangrijk is, maar een beter uitgangspunt is dat informatie van de overheid gewoon betrouwbaar moet zijn en dat er niet mee gerotzooid kan worden onderweg.
maar een gebruiker kan dan al het slachtoffer geworden van een ssl-stripping-attack. Daarbij kan een aanvaller de eerste, onversleutelde pageview gebruiken om een lagere graad van beveiliging af te dwingen.
Als je geval per geval moet gaan beoordelen of het nodig is, is dat te veel werk. Misschien beter gewoon altijd https. De keren dat het nodig is, heb je het dan ook zeker.

[Reactie gewijzigd door 87Dave op 13 april 2015 10:31]

HTTPS zou in ieder geval de standaard moeten zijn. Nu moet iemand beslissen dat er wél HTTPS nodig is. De meeste mensen hebben niet de juiste achtergrond om altijd de juiste beslissing te nemen. Zelfs als een site nu nog geen HTTPS nodig heeft dan kan dat in de toekomst veranderen. Iedere keer dat er iets aan een site verandert zal er weer iemand moeten nadenken of HTTPS nodig is. Vroeg of laat gaat dat fout. Daarom heb ik liever dat HTTPS de standaard is, dan hoeft niemand er over na te denken en gaat het vanzelf goed.
Technisch gezien is er weinig reden om het niet te doen. De overhead van HTTPS is op een modern systeem zo laag dat het voor de meeste sites verwaarloosbaar is. Misschien dat er nog een hand vol sites zijn die zo intensief gebruikt worden dat HTTPS echt een probleem is maar dan moet er voor die sites maar een uitzondering gemaakt worden. Zolang de default maar HTTPS is.
Sommige browser bouwers, met Google voorop, stellen dat het niet uitmaakt of je gegevens heen en weer stuurt. Zonder HTTPS kan iedereen claimen jouw website te zijn, en dat acht men al een security lek op zichzelf.

Ik ben het daar niet 100% mee eens, maar dat is hun stelling. Er zijn dan ook verregaande plannen om alle HTTP sites in de toekomst als onveilig te bestempelen, en mogelijk ook in search rankings te verlagen.
Zoals ik het begrijp waardeert Google de sites op veiligheid, versleuteling en eerdere veiligheidsproblemen, zoals via geserveerde malware.
Wat jij daar van ziet is een rode tot groene url-balk (of indicatie daar), wat het voor de doorsnee gebruiker simpeler maakt te begrijpen dat een rode site gevaarlijk kan zijn/is, je bij een oranje site iets beter moet opletten wat je doet maar er verder geen bekende problemen mee zijn en je op een groene site op zeker een veilige verbinding hebt waar je van uit mag gaan dat onderling verstuurde gegevens ook echt die gegevens zijn én prive zijn en blijven.

Voor oa. de snel vergrijzende bevolking lijkt me dat handig en simpel uit te leggen
Dat klopt, maar mijn punt is dus dat er een uitbreiding op het programma staat die standaard alle HTTP sites als onveilig zal bestempelen.
Niets mis mee lijkt me als je dan een oranje indicatie krijgt, zodat de gebruiker beter oplet.
Ik denk dat het veel sites aan zal sporen groen te worden.
Hangt een beetje van de Overheids site af, een informatieve site over seksuele aandoeningen die de jeugd moet informeren over het gebruik van condooms hoeft natuurlijk geen HTTPS te hebben als je er niet op inlogt :P.
Het grote probleem bij volledige overschakeling naar HTTPS zijn vooral de kosten die het huidige systeem met zich meebrengen. De meeste sites die ik bouw of host zouden genoeg hebben aan een gratis self signed certificaat die je als wildcard kunt inzetten. Ja dan heb je geen authenticatie, maar dan heb je in ieder geval encryptie wat in mijn ogen de belangrijkste van de twee is. Ik heb nooit begrepen waarom je bij een self signed certificaat zo'n grote dikke warning krijgt die bezoekers wegschrikt, terwijl je als gebruiker bij HTTP theoretisch groter gevaar loopt. Als google zo graag die omschakeling wil forceren, laat ze dan een platform opzetten waar je gratis certificaten kunt laten signen. Met al hun gratis webmaster tools, adsense en analytics services moet een eenvoudige authenticatie van domeinen toch kinderspel zijn. Wil niet zeggen dat voor sommige bedrijven een secundaire (betaalde) authenticatie layer niet ook nog belangrijk kan zijn (hoe meer bronnen bevestigen dat jij bent wie jij bent hoe beter).
"ls google zo graag die omschakeling wil forceren, laat ze dan een platform opzetten waar je gratis certificaten kunt laten signen"

Tada!

https://letsencrypt.org/

Nog niet live, maar dit komt er dus aan later dit jaar. En zo simpel werkt het:

https://letsencrypt.org/howitworks/

Het enigste punt is dat je er dan nog steeds niet bent. Vele sites hebben harde links in hun content zelf zitten met http, en/of dependencies met 3rd parties die nog http zijn.
Cool, maar dat betekend niet dat een bepaalde browser als nog de certificaten blokkeren?

Aan de andere kant, een certificaat is nou ook nog weer niet zo duur om aan te schaffen. Deze kosten nog geen 9 euro per jaar! Domeinnaam kost een kleine 5 euro per jaar. Wil niet zeggen dag het gratis is, maar duur is het ook niet!
Nee, duur is het niet, het is meer dat bovenstaande service het technische gedoe en onderhoud wegneemt. Naar ik heb begrepen is dit een initiatief van verschillende browser partijen, dus ik verwacht niet dat dit certificaat ooit geblokkeerd gaat worden.
Per definitie vind ik dat het je recht is om je communicatie te versleutelen en het een plicht is voor de houder van de website om dat aan te bieden. Ik hoop dat het een standaard wordt dat je bij het aanschaf van een domein ook een SSL certificaat neemt. Ik denk dat momenteel de prijs van een certificaat ook veel mensen tegen houdt om er een aan te schaffen. De prijs die je betaald voor een trusted authority vrij hoog. Wildcard loopt al tegen de 80 euro per jaar aan. Zelf kan ik niet begrijpen waar de kosten nou exact zitten (misschien verzekerde waarde?).

Ik hoop dat een wildcard SSL certificaat op je domein in de toekomst 20-30 euro per jaar mag gaan kosten zodat het voor iedereen die een website heeft betaalbaar wordt. Voor mij hoeft de verzekering niet perse, ik heb geen webshop oid :).

Self signen kan ook, maar ik wil gebruikers van mijn site graag de juiste ervaring bieden, dus niet voor mij weggelegd.
Ik hoop dat een wildcard SSL certificaat op je domein in de toekomst 20-30 euro per jaar mag gaan kosten zodat het voor iedereen die een website heeft betaalbaar wordt. Voor mij hoeft de verzekering niet perse, ik heb geen webshop oid :).

Self signen kan ook, maar ik wil gebruikers van mijn site graag de juiste ervaring bieden, dus niet voor mij weggelegd.
Daarom ben ik zo'n fan van DANE. Dat maakt het mogelijk om veilig en vrijwel gratis met self-signed-certificaten te werken.
Dan hoeft niemand meer moeilijk te doen over een certificaatje meer of minder en kan ieder domein of iedere server z'n eigen certificaat krijgen en die kunnen we zo vaak vervangen als we willen. Nu is het vaak zo dat een hele organisatie op een enkel wildcard certificaat draait. Hoe vaker zo'n certificaat geinstalleerd is hoe groter de kans dat het ooit gestolen wordt en hoe moeilijker het is om het certificaat te vervangen als dat nodig is.
Maak het (gebruik van) internet gewoon zo veilig mogelijk als het kan ... hoe minder gaten er in zitten / blijven zitten, hoe meer personen zullen worden ontmoedigt om er iets verkeerds mee te gaan doen wat resulteerd in een veiligere omgeving voor iedereen.
Je zou zeggen dat in ieder geval de overheid juist het goede voorbeeld zou moeten geven aan hun burgers..

[Reactie gewijzigd door Only op 13 april 2015 09:08]

Bovendien laten websites zonder https derden uitlezen welke pagina's gebruikers bezoeken als ze de verbinding kunnen onderscheppen, bijvoorbeeld op een openbare wifi-hotspot
Het klopt dat de URL ook onderdeel van de https communicatie is, maar iemand die meekijkt ziet natuurlijk aan de hand van DNS precies welke server op welk moment wordt bezocht.
En als er geen gebruik gemaakt wordt van DNSSEC dan is het ook mogelijk (DNS spoofing) dat je naar een andere server wordt geleidt (met geheel eigen inhoud).

Het doel van https voor sites is dan ook meer gericht op 'tampering with data' dan andere beveiligingszaken. Het gaat er om dat we de echtheid van informatie kunnen verbeteren.
Volgens mij is dat, in een wereld waarin we zo afhankelijk zijn van het internet, toch een minimale vereiste. Ja, ik ben voorstander van het volledig doorvoeren van HTTPS en van DNSSEC.
Ik vind de term 'onveilig' niet gepast eigenlijk. Een betere term is denk ik 'authentiek'.
In Belgie hebben ze ook nog werk aan de winkel. Toen ik vorig jaar software voor mijn elektronische identiteitskaart te lezen moest downloaden van een gewone http site heb ik de support laten weten dat ik dit niet zo veilig/prettig vond. Ik wil de software die met mijn identiteitsgegevens werkt graag volledig kunnen vertrouwen ...

Stel je voor dat je je voor lange tijd in het buitenland bevindt. Hoe gaat de belastingsdienst er mee om als jij beweert dat er op de site van de overheid stond dat er in 2015 geen belastingen betaald moeten worden (door MITM)?

[Reactie gewijzigd door Tafelpoowt op 13 april 2015 11:31]

Is er niet ergens een goede tutorial voor leken die uitlegt hoe SSL werkt en wat de gebreken zijn?
aangezien het Nationaal Cyber Security Centrum van de overheid websites die gevoelig data behandelen juist adviseert om https te gebruiken.
Hoop niet dat we tot zo'n niveau zijn afgedaald ... het is allemaal écht geen abacadabra en anders moet je een andere baan zoeken ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True