Helft homepagina's van Nederlandse overheidswebsites gebruikt geen https

De helft van de homepagina's van Nederlandse overheidswebsites gebruikt geen https om de verbinding te beveiligen, blijkt uit een inventarisatie van de Open State Foundation. Daaronder zijn de Belastingdienst-homepagina en een formulier van de Rijksrecherche om misstanden te melden.

De Rijksrecherche heeft het formulier offline gehaald, al is het wel in te zien via Web Archive. De Rijksrecherche verwijderde het formulier woensdag na een melding van de NOS. Wie nu misstanden wil melden, moet dat vooralsnog telefonisch doen.

Ongeveer 44 procent van de overheidswebsites gebruikt helemaal geen https, terwijl nog eens 6 procent de beveiliging die er wel is niet goed heeft geïmplementeerd, schrijft de Open State Foundation. De stichting nam in totaal rond achttienhonderd domeinen onder de loep voor de inventarisatie.

De inventarisatie beperkte zich tot de homepagina van overheidswebsites, waarbij de stichting dus niet gekeken heeft naar de beveiliging van andere delen van de websites. Sites die https afdwingen, gelden als het veiligst. Door een gebrek aan een beveiligde verbinding is het mogelijk dat kwaadwillenden man-in-the-middle-aanvallen uitvoeren om zo privégegevens van gebruikers te pakken te krijgen.

Het aanbieden van een homepagina zonder beveiligde verbinding is op zich niet tegen privacywetgeving. Dat is wel zo als gebruikers via een onbeveiligde pagina privégegevens als DigiD-wachtwoord of bsn moeten invullen. Eerder dit jaar bleek dat tien gemeenten dat nog deden.

IT-banen

Reacties (90)

halfgaar 1 december 2016 09:22

Als HTTPS wel aan staat, moet er ook nog rekening gehouden worden met dat SSL3 niet kan, en dat HSTS ook aanstaat, bij voorkeur, zodat SSLStrip moeilijker wordt. Ik had ooit uit de whois van domeinen van banken contactpersonen opgezocht om ze te vertellen dat hun domeinen geen HSTS gebruiken. Je kan de reactie wel raden...

djiwie @halfgaar • 1 december 2016 10:01

Tip: https://www.ssllabs.com/ssltest/ test vrij grondig je SSL-configuratie. Je wilt minstens een A halen, A+ is als je HSTS aan hebt staan :-)

slijkie @djiwie • 1 december 2016 12:02

En vergeet dan ook niet de Security headers te controleren.

https://securityheaders.io/

Thc_Nbl @slijkie • 1 december 2016 14:33

en als je dat gedaan hebt.
dan controleer je nog even je ciphers.
https://tls.imirhil.fr/
en dan blijkt dat die A+ van ssllabs een F kan zijn, of zelfs slechter.

en net als de meeste is ook tweakers. met een F bestempelt.

https://tls.imirhil.fr/https/www.tweakers.net

en A+ is prima te doen. b.v. dit is wat ik haal.
Protokoll 60 / 100
Schlüsselaustausch 100 / 100
Cipher 100 / 100
Gesamt 88.0 / 100

Of alles in een.
https://observatory.mozilla.org

[Reactie gewijzigd door Thc_Nbl op 23 juli 2024 07:21]

_Zedd_ @Thc_Nbl • 1 december 2016 18:21

zelfs Google, Facebook en de meeste NL banken krijgen een F. Alleen Microsoft doet het beter met een B.

roestdatroest @Thc_Nbl • 2 december 2016 08:47

Er zijn legacy systemen die maar een beperkt en verouderd aantal cipher suites ondersteunen.

Om die systemen uit te sluiten puur omdat ze de nieuwste en beste suites niet ondersteunen vind ik niet altijd de beste aanpak.

StackMySwitchUp @djiwie • 1 december 2016 11:05

Bedankt voor de link, ik heb er dankbaar gebruik van gemaakt voor mijn website, welke overigens A is (helaas, HSTS moet ik nog eens naar kijken)
Ik zag overigens dat menig tweaker nu hun lokale gemeentewebsite door dat ding halen

CH4OS @halfgaar • 1 december 2016 10:05

Handige tool bij het testen of SSL/TLS goed is ingesteld kun je natuurlijk de website(s) testen door middel van bijvoorbeeld https://www.ssllabs.com/ssltest/.

Ook worden dan tips en how to's gegeven voor aanpassingen.

EDIT:
Ik zie dat Djiwie me net met 5 minuten voor was, ik moet wat vaker refreshen.

[Reactie gewijzigd door CH4OS op 23 juli 2024 07:21]

f.v.b @halfgaar • 1 december 2016 09:49

Held!

Het goed beveiligen van een website met een certificaat is helaas veel moeilijker dan je zou willen. Op elk moment kan de meest optimale configuratie wijzigen doordat er ergens een nieuwe vulnarability ontdekt wordt. Het goed configureren is daarmee een continue proces geworden dat er vaak genoeg bij inschiet.

Het is dus inderdaad belangrijk dat we elkaar scherp houden. Daar is geen blame and shame actie voor nodig. Even een telefoontje werkt ook prima.

halfgaar @f.v.b • 1 december 2016 10:42

Je hebt inderdaad gelijk dat we elkaar scherp moeten houden. Mijn reactie hier was ook iets minder genuanceerd dan mijn berichtje destijds. Het blijven tenslotte internet comments

Ik snap het ergens ook wel vanuit de banken, omdat het vaak moeilijk is. SNS bank heeft bijvoorbeeld de inlog gewoon op hun www domein. HSTS aanzetten geeft vast allerlei gedoe. Maar het is al een fout opzich dat bankieren niet een eigen subdomein heeft, zoals bij de Rabo (waar HSTS wel aanstaat).

MonotoneJeroen @halfgaar • 1 december 2016 10:51

Een paar dagen geleden had ik ook opgezocht of de Rabobank HSTS aan had staan, blijkt dus dat ze op de bankieren subdomein wel HSTS aan hebben staan.

Misschien zou het handig zijn voor banken om op de HSTS Preload List te staan.

Firefly III @halfgaar • 1 december 2016 09:46

Op zich is dat geen verrassing hoor. Bij grote, internationale organisaties is het beheer van alle domeinnamen een fulltime job. Ik weet van verschillende banken dat ze daar 1+ FTE voor nodig hebben. Weet je bijvoorbeeld wat er komt kijken bij het registreren van een .ru adres? Wat je moet doen om een .ml domein af te pakken?

De daadwerkelijke web-jongens zitten heel ergens anders in de organisatie.

Heb je weleens contact gezocht met de responsible disclosure clubs van deze organisaties? Die kunnen je wellicht verder helpen.

Storm-Fox 1 december 2016 09:02

Het is onnodig om elke website te voorzien van een https certificaat.
Uiteraard wel als er gebruik wordt gemaakt van een directe login functie of als
er persoonlijke gegevens verstuurd worden.

Laten wij de belastingbetaler dus niet met extra kosten opzadelen door elke overheidssite
te voorzien van een duur certificaat en unieke ipv4 adres.

Rataplan_ @Storm-Fox • 1 december 2016 09:09

Duur hoeft het niet te zijn. Kijk naar Let's Encrypt bijvoorbeeld. Ik snap wel dat de overheid met verzekerde certificaten zoals Verisign werkt, maar voor in principe al 'vrije' content hoeft in mijn ogen geen certificaat van duizenden euro's gebruikt te worden.

Bovendien hebben we tegenwoordig SNI waarmee je meerdere HTTPS certificaten / sites kunt hosten vanaf een enkel IP.

[Reactie gewijzigd door Rataplan_ op 23 juli 2024 07:21]

FreqAmsterdam @Rataplan_ • 1 december 2016 09:31

Het probleem met het uitgeven van gratis certificaten is dat er nauwelijks meer een drempel is. Wat is een SSL certificaat nog waard als iedereen er een kan aanvragen. Ik vind dat er een paar partijen betaalde certificaten mogen uitgeven en that's it. Let's encrypt is nobel, maar werkt juist averechts lijkt het wel.

tobias93

@FreqAmsterdam • 1 december 2016 09:39

Waarom zou er een drempel moeten zijn om certificaten te gebruiken?
Het enige dat een certificaat zegt is: Ik ben wie ik zeg dat ik ben, en een andere partij staat daar garant voor.
Dat geldt voor zowel dure certificaten als Let's Encrypt certificaten.

Het enige zéér belangrijke punt is dat een certificaat ingetrokken kan worden als deze (eventueel) gecompromitteerd is.

Natuurlijk ben ik ook wel van mening dat het enigszins overdreven is om elke site een certificaat te laten hebben, maar ik zie absoluut niet in wat daar het probleem van zou zijn.

Zer0 @tobias93 • 1 december 2016 09:59

Ik ben wie ik zeg dat ik ben, en een andere partij staat daar garant voor.

Het is vrij simpel een certificaat aan te vragen op een valse identiteit, al helemaal met Let's Encrypt. Niks wat je bijvoorbeeld tegehoudt om een certificaat aan te vragen voor presidentoftheus.com.
Er wordt niet voor niks een verschil gemaakt tussen "gewone" en EV certificaten.

MonotoneJeroen @Zer0 • 1 december 2016 10:34

Als het mogelijk zou zijn om fraudulente certificaten aan te vragen voor een domeinnaam dan zou het heel slecht af lopen met Let's Encrypt, de zelfde pad als StartCom en WoSign zoals Mozilla gedaan heeft.. (extra)

Certificate Authorities moeten zich aan de CA/Browser Forum Baseline Requirements houden om een kans te krijgen dat hun Root Certificates toegevoegd worden aan browsers en operating systems.

Zer0 @MonotoneJeroen • 1 december 2016 11:22

Ik doel niet direct op fraudulente certificaten, maar meer het feit dat een domein naam en certificaat nog helemaal niks garanderen over de identiteit. tweakers .shop kan ik bijvoorbeeld gewoon legaal aanschaffen en een certificaat voor aanvragen, niks fraudulent aan.

viperthepala @Zer0 • 1 december 2016 13:23

als jij dat aanvraagt zal je nooit bevestiging krijgen dat je tweakers.net bent.

Een certificaat zal nooit tegen gaan dat jij een nagenoeg gelijke naam aanhoud.

Het levert alleen bewijs dat jij de naam hebt die je hanteert.
Dat naast het feit dat het de inhoud van de website versleutelt wat er op zijn plaatst weer voor zorgt dat een Man in the middle aanval nagenoeg onmogelijk is.

Zer0 @viperthepala • 1 december 2016 13:27

Het levert alleen bewijs dat jij de naam hebt die je hanteert.

Exact, en dit is dus iets anders dan je werkelijke identiteit.. Alleen bij een EV certificaat wordt er naar je werkelijke identiteit gekeken.

GLaDTheresCake @Zer0 • 1 december 2016 13:32

Ik doel niet direct op fraudulente certificaten, maar meer het feit dat een domein naam en certificaat nog helemaal niks garanderen over de identiteit. tweakers .shop kan ik bijvoorbeeld gewoon legaal aanschaffen en een certificaat voor aanvragen, niks fraudulent aan.

Zo kan je natuurlijk wel even doorgaan, maar internet is een vrij medium en moet dat wat mij betreft altijd blijven.
Deze vrijheid is de hele kracht van het internet, stel je anders eens voor dat ik een certificaat aanvraag voor mijn website wijwillenmindergeertwilders . nl (als polariserend voorbeeld), als onze beste PVV leider aan de macht zou komen en tegen de certificaat authoriteiten kan zeggen dat dit niet kan, dan kan ik mijn mooie satire website dus niet beveiligen. Browsers blokkeren ook tegenwoordig zelfs veel onbeveiligde websites en ik neem aan dat dit alleen maar gaat toenemen. Phising toestanden zijn gewoon iets waar je met blacklists en gezond verstand omheen moet komen, ik vindt niet dat je mensen moet censureren om een paar rotte appels.

Zer0 @GLaDTheresCake • 1 december 2016 15:57

Ik zeg ook niet dat dit moet veranderen, alleen moet men de "gewone" certificaten goed naar waarde inschatten. Het betekent alleen dat je verkeer versleuteld is, en dat de domein-naam klopt, meer niet.

tobias93

@Zer0 • 1 december 2016 11:07

[...]

Niks wat je bijvoorbeeld tegehoudt om een certificaat aan te vragen voor presidentoftheus.com.

Er wordt toch echt gecheckt of jij het beheer hebt over het domein waarvoor je een cert aanvraagt. Dat is toch niet hetzelfde als niks?

phYzar @FreqAmsterdam • 1 december 2016 09:46

De prijs of de moeilijkheid moeten niets met de veiligheid te maken hebben. Wat een certificaat doet is bevestigen dat jij bent verbonden met datgene waar je verbinding mee wilde maken en dat dat dan beveiligd is. Of die website of dienst vervolgens te goeder trouw is staat los van het certificaat. En een certificaat van 1000 euro of een kvk-uitrekseltje op de post doen is echt geen drempel voor een beetje malafide webcrimineel. Op die manier maak je juist mensen achteloos door te denken: 'ah, gejatte-ipads.nl heeft een certificaat, dus het zal dan wel goed zijn allemaal'

djiwie @FreqAmsterdam • 1 december 2016 09:55

Ik denk dat je een verkeerde perceptie hebt van een SSL certificaat. Een certificaat identificeert de website waarmee je communiceert. Let's Encrypt doet dat gratis via een automatische controle. Wat Let's Encrypt doet is precies wat commerciële leveranciers al 20 jaar doen.

Alleen bij Extended Validation (groene balk) stelt de controle daadwerkelijk wat voor. Maar dat wordt door LE en co niet geleverd.

Yggdrasil

@Rataplan_ • 1 december 2016 09:52

SNI kan een probleem zijn voor de overheid omdat het door enkele oude browsers/platforms niet ondersteund wordt, zoals IE op Windows XP, oude Android Browsers, etc.

Voor de gemiddelde commerciële of hobby website geen probleem maar de overheid kan waarschijnlijk niet zomaar bezoekers met dergelijke oudere platforms de toegang ontzeggen tot hun sites door SNI in te schakelen. Welke soort bezoekers je krijgt hangt sterk af van het doel van de site.

Wij hebben zelf laatst een onderzoek gedaan en voor onze toeristische sites was het aantal bezoekers die geen SNI aankunnen rond de 0,5%. Voldoende laag om de stap te maken van unieke IPv4-adressen naar SNI. Toch maken we het daarmee voor duizenden bezoekers onmogelijk onze sites te bezoeken.

[Reactie gewijzigd door Yggdrasil op 23 juli 2024 07:21]

Verwijderd @Storm-Fox • 1 december 2016 09:32

Het is onnodig om elke website te voorzien van een https certificaat.
Uiteraard wel als er gebruik wordt gemaakt van een directe login functie of als
er persoonlijke gegevens verstuurd worden.

Laten wij de belastingbetaler dus niet met extra kosten opzadelen door elke overheidssite
te voorzien van een duur certificaat en unieke ipv4 adres.

De overheid heeft een eigen PKIoverheid . Daarom kost het de overheid niets buiten de kosten van PKIoverheid.
Of iedere overheidstak deze gebruikt weet ik niet.

De overhead etc is er ook geen enkele reden om geen https te gebruiken.
Analyzing HTTPS Performance Overhead

De reden zal, vermoed ik, de bureaucratie zijn.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:21]

tweaknico @Verwijderd • 1 december 2016 11:16

Op dat PKI overheid certificaat is ook wat af te dingen.
Voor beveiliging van websites is het absoluut niet noodzakelijk dat er code lokaal uitgevoerd wordt.

Dus waarom is het Overheidscertificaat dan geschikt voor code-signing? Dat is pas een onzinnige extentie voor Websites.

Tenzij je het bekijkt in het kader van het hackvoorstel van de Minister, dan snijdt het inderdaad hout. Driveby shooting vanuit NL overheid websites.
En silent uitvoeren van code op platforms met een blind vertrouwen in PKIOverheid...
(Staat default aan).

[Reactie gewijzigd door tweaknico op 23 juli 2024 07:21]

svennd @Storm-Fox • 1 december 2016 09:12

duur certificaat = gratis
uniek ipv4 adres = is al zo.

Ik vind het ook niet nodig om iedere website te voorzien, gezien de overheid (in BE) heel wat "statische" informatie websites heeft. Toch zou het een goeie indicatie zijn hoe goed/slecht het onderhouden,

djiwie @Storm-Fox • 1 december 2016 09:53

Certificaten kosten vrijwel niets, unieke IP-adressen zijn al vijf jaar overbodig voor SSL en als burger moet je zeker kunnen weten dat je daadwerkelijk met de overheid communiceert in plaats van met een vervalste website. Dus nee, het is absoluut niet overbodig.

Sowieso is de tendens dat elke website HTTPS gaat gebruiken. Doe je het niet, dan wordt je door browsers gestraft (rood slotje in browsers vanaf volgend jaar) en door zoekmachines (Google geeft nu al een penalty als je site geen HTTPS gebruikt).

Eigenlijk is het heel raar dat we zo lang zonder enige vorm van encryptie hebben gecommuniceerd. En het is ook heel raar dat uitgerekend de overheid laks is in dit soort zaken.

tweaknico @Storm-Fox • 1 december 2016 11:13

Hm. Je verwacht toch betrouwbare informatie van de overheid?

SSL/TLS is niet alleen encryptie. Het waarborgt ook dat de bron server in ieder geval bij de naam hoort en dat een andere partij de data in transit niet kan aanpassen.

Verwijderd @Storm-Fox • 1 december 2016 11:40

Nou ja, ik schat dat er op elke overheidswebsite wel ergens een contactformulier staat. En ja, zelfs voor een simpel contactformuliertje is https al vereist, vanwege de wet bescherming persoonsgegevens.

Er staat zelfs een boete op van € 4500,- per geval. Zie: https://autoriteitpersoon...t-65-tm-75/artikel-66-wbp

Maarja, wie zal die boete indirect betalen? De belastingbetaler...

Shamalamadindon @Storm-Fox • 1 december 2016 12:07

Dat is wel nodig. Anders kan er inmiddels een mitm aanval uitgevoerd worden en info op de pagina voor de gebruiker veranderd worden.

Spinal @Storm-Fox • 1 december 2016 13:44

Je informatie loopt achter

Certificaten hoeven niet duur te zijn (bijv. via Let's Encrypt) en een uniek adres is ook al jaren niet meer nodig.

Slavy 1 december 2016 08:55

Dit verbaast mij eigenlijk niet, het is algemeen bekend dat de overheid qua veiligheid en systemen (kijk maar hoelang de transitie van XP naar een nieuwe versie duurde) vaak achter de feiten aan loopt.

Berreber @Slavy • 1 december 2016 09:07

Ben ik het niet volledig mee eens. Dit verschilt volledig per departement. Ik kan uit ervaring spreken als ik zeg dat er genoeg overheidspartijen zijn die voorlopen op de commerciële wereld.

Er zijn genoeg overheidspartijen die het minder zullen doen, maar er moet ook ruimte/budget zijn om dit soort zaken aan te pakken. Wanneer hun primaire processen weinig te doen hebben met informatica, dan kan ik begrijpen dat het achter loopt op sommige vlakken.

Slavy @Berreber • 1 december 2016 09:22

Ikzelf kan ook uit ervaring spreken, heb er immers ook al meerdere keren voor gewerkt, en het meeste wat mij blijft verbazen is dat de overheid per tak een ICT club heeft die zelf bepaalt hoe het complete systeem ingeregeld is. Dat is pas met geld smijten, men zou gewoon centraal een grote ICT afdeling moeten hebben waarbij de overheid op een geheel systeem werkt.

djiwie @Slavy • 1 december 2016 09:50

Het is maar de vraag of dat tot betere prestaties (waaronder betere beveiliging) en meer efficiency leidt. De reflex om te centraliseren bij problemen is een bekende reflex, maar niet perse ook de juiste.

De (rijks)overheid is een enorme organisatie met uiteenlopende taken, door te centraliseren maak je het juist ook weer lastiger voor de afdelingen binnen de overheid met specifieke behoeften. En hoe definieer je "de overheid"? Valt de politie daar ook onder? Uitvoeringsorganisaties? ...

Berreber @Slavy • 1 december 2016 09:48

Dat zou een mooie situatie zijn, maar dat gaat nooit en te nimmer mogelijk zijn. Daarnaast, ik neem aan dat je het nu hebt over de besturingssystemen? Aangezien de programmatuur wat websites betreft wel anders is, dit kan nooit gecentraliseerd worden.

Als je de wat grotere overheidspartijen hebt, en ziet hoeveel informatie daar doorstroomt en hoe hard er gewerkt wordt aan het verbeteren van de dienstverlening naar de burger toe (dus websites). Dan lijkt het mij een onmogelijke situatie om dit te centraliseren.

Blokker_1999

Netwerk en systeembeheer

@Slavy • 1 december 2016 10:37

Het probleem van centraliseren bij dit soort grote organisaties is dat je een veel te grote afstand krijgt tussen de noden van een departement en de uitvoerende ITers. Prioriteiten kunnen anders liggen en er kan heel veel miscommunicatie ontstaan. Centraliseren lijkt vaak een goede oplossing, maar neem het aan van iemand die de uitwerking ervan gezien heeft: het brengt ook heel veel nadelen met zich mee.

janbaarda @Slavy • 1 december 2016 10:40

Daar heeft de overheid toch ICTU/Logius voor?

MsG @Slavy • 1 december 2016 13:50

Volgens mij werkt de verplichte openbare aanbesteding per project ook niet echt bevorderlijk voor ICT-klussen. Dat kan elke keer weer een andere aanbieder zijn met een compleet andere visie, methodiek etc. Waardoor dingen weer moeilijker op elkaar aansluiten bijvoorbeeld.

Gopher @Slavy • 1 december 2016 09:00

Naast dat het mij ook niet verbaasd vind ik jou vergelijking raar.

De XP systemen zijn werkstations, zou als het goed is niet superveel te maken mogen hebben met de servers waar de websites op gehost worden, ik verwacht dat dit sowieso een heel andere afdeling mag zijn.

Daarnaast heeft die transitie meer te maken met software die op die systemen draaide welke gemigreerd dient/diende te worden. Uiteraard zou dezelfde situatie kunnen voorkomen op de websites. SSL is echter iets wat zeker wel ondersteund wordt door oude architecturen en mag eigenlijk geen excuus zijn, zeker als bepaalde pagina's gevoelige informatie bevatten.

Aikon @Gopher • 1 december 2016 09:14

Aangezien werkstations doorgaans toegang hebben tot allerhande servers is de beveiliging hiervan ook zeer belangrijk. Daarnaast koopt de overheid gewoon support in voor XP, dus in theorie zijn de werkstations (voor de overheid) niet onveilig.

Gopher @Aikon • 1 december 2016 09:19

Klopt, dat punt was ik vergeten. Security & support is nog steeds een optie voor de oude XP bakken. Klopt dat dit belangrijk is, maar ik betwijfel of deze toegang hebben tot de webservers. z.w.s. wel tot applicaties die de databases aanspreken welke ook samenwerken met de webservers uiteraard.

Developer machines zullen wel geen XP draaien want die zullen misschien wel iets van geheugen willen gebruiken ;-).

jozuf @Gopher • 1 december 2016 09:19

SSL word dan wel ondersteund opzich maar het is nog wel een kunst om het zo af te stellen dat het ook daadwerkelijk werkt met de cipher suites etc.
XP heeft bv geen ondersteuning voor TLS 1.1, om maar 1 van de honderden variabelen te noemen die invloed heeft of een HTTPS verbinding wel of niet werkt. zie bv
https://blogs.msdn.micros...tls-protocols-on-windows/

En dan hebben we het alleen nog maar over XP.

Gopher @jozuf • 1 december 2016 09:21

Maar Windows XP is niet relevant in dit verhaal.
Het gaat om de websites van de overheid, en als de overheid websites op XP zou hosten zijn het wel vreemde figuren.

Dan kan het misschien niet uitermate simpel zijn, maar daar heb je mensen voor en dan is het nog niet iets wat jaren aan migraties nodig heeft. Mogelijk een nachtje downtime bij logge rare serverts, maar in de avond werken de omgevingen van de overheid over 't algemeen toch al wat minder goed.

Zer0 @Gopher • 1 december 2016 09:45

Maar Windows XP is niet relevant in dit verhaal.

XP is wel degelijk iets relevant, web-servers zijn namelijk vrij nutteloos zonder clients.
Zoals jozuf als voorbeeld aangeeft, beveilig je server met TLS 1.1 en Windows XP clients kunnen er niet meer bij.
Dit soort gevallen zijn er bij meer oudere OS'en, zoals oude Android versies.

jozuf @kozue • 1 december 2016 11:40

En android is ook niet relevant dan?
https://developer.android...ax/net/ssl/SSLSocket.html

Android 2.x doet geen TLS 1.1, wordt pas ondersteund vanaf android 4. Zijn nog zat toestellen online met android 2 volgens mij.
Het is dus niet alleen XP, dat was maar een voorbeeld. Elk platform heeft dit probleem met oude versies. Alles bij elkaar sluit je dus wel een redelijk aantal potentiele bezoekers uit met uitschakelen TLS 1.0.

Hier kan je bv zien wat voor chaos het is op dit vlak;
https://en.wikipedia.org/...on_of_TLS_implementations

[Reactie gewijzigd door jozuf op 23 juli 2024 07:21]

riotrick @jozuf • 1 december 2016 13:50

1.4% zit nog op android 2.x versies (https://developer.android.com/about/dashboards/index.html)

Ook niet heel relevant meer dus.

kozue @jozuf • 1 december 2016 18:05

Android 2.x is inderdaad niet relevant nee. Iemand die nog steeds een Android 2.x telefoon heeft zit niet genoeg op internet om er iets van te merken. En dat soort mensen hebben ook nog wel een computer staan waar de site wel op werkt. Met een beetje geluk niet een die nog XP met IE draait

Cowamundo @Slavy • 1 december 2016 09:07

"duurde" ?
Er wordt nog steeds volop gebruik gemaakt van Windows XP systemen binnen de overheid.

RobbyTown

@Cowamundo • 1 december 2016 09:40

Niet alleen daar. Luchthaven (is dat overheid of niet?) incheck paaltjes (Schiphol weet ik 100% zeker, terminal herstarte voor mijn neus en XP logo was vol in beeld) draaien ook op XP en nog tal andere locaties.

[Reactie gewijzigd door RobbyTown op 23 juli 2024 07:21]

DB LucF @RobbyTown • 1 december 2016 13:05

Wellicht Windows Embedded Standard (of POSReady) 2009, die heeft ook nog support tot 2019, deze geeft ook gewoon een XP logo bij het opstarten.
Niet alles waar je het XP logo ziet is automatisch out-of-support.

kozue @RobbyTown • 1 december 2016 18:07

Incheck-terminals browsen geen websites toch? Hoef je dus ook geen rekening mee te houden. Het gaat om computers waar nog daadwerkelijk webpagina's op bekeken worden.

Jurrian120 @Slavy • 1 december 2016 09:06

Die mening deel ik. Ik lees daarbij ook steeds vaker dat er een minister van ICT moet komen, en daar ben ik het helemaal mee eens. Als dat er komt zal er denk ik beter naar overheidssites gekeken gaan worden, maar ook naar de ICT infrastructuur van de staat. Wij betalen er wel voor met belasting/accijns op alles wat wij kopen. Dus vind ik het ook niet heel gek als wij vragen naar een Minister van ICT.

Verwijderd @Slavy • 1 december 2016 09:24

Dit verbaast mij eigenlijk niet, het is algemeen bekend dat de overheid qua veiligheid en systemen (kijk maar hoelang de transitie van XP naar een nieuwe versie duurde) vaak achter de feiten aan loopt.

Mij verbaast het wel.
Tav Windows XP daar hebben ze volgens mij extra geld voor betaald om dat nog door Microsoft support te krijgen.

Tav websites het belangrijkste is dat pagina's waar vertrouwelijke informatie verstuurt wordt dienen versleuteld te zijn. Dat is IMO erg slordig dat dat niet het geval was.

Verwijderd @Slavy • 1 december 2016 09:36

Maar is de overheid daar werkelijk slechter dan niet-overheid, i.e. het bedrijfsleven?

CH4OS @Slavy • 1 december 2016 10:10

Ik begrijp alleen even niet hoe een migratie van duizenden computers, servers, gebruikers en applicaties van voorbeeld kan dienen hoe lang het installeren van een SSL/TLS certificaat op honderden servers (en dus niet eens gebruikers of desktops nodig zijn) zou moeten duren?

Je vergelijkt nu appels met peren; het zijn namelijk totaal andere werkzaamheden.

spiree 1 december 2016 11:47

Goed verhaal maar wel een beetje over de top. Ik werk zelf bij een van de gemeentes en er staan sites tussen die wel degelijk https hebben en waar de http variant ook in de lucht is maar enkel om een redirect te doen naar https. Die url met enkel de redirect eronder zetten hun al in hun nieuwsbericht als zijnde dat er kompleet geen https op zit.

Kortom dit artikel is niet op alle vlakken goed onderzocht.

Shamalamadindon @spiree • 1 december 2016 12:11

Hebben we het dan over een html redirect of op webserver/config niveau?

spiree @Shamalamadindon • 1 december 2016 12:59

Als ik het goed heb een html redirect. Website staat bij een externe partij maar wat ik zo in de headers zie gaat het om een html redirect.

hackerhater @spiree • 1 december 2016 13:28

Dat kan inderdaad de statistieken vertroebelen.
Redirects horen op webserver/server-taal (PHP/.net/JAVA) gedaan te worden.

Verwijderd @hackerhater • 1 december 2016 14:52

Of via .htaccess

hackerhater @Verwijderd • 1 december 2016 15:08

Dat reken ik even onder webserver

Verwijderd @hackerhater • 1 december 2016 15:23

Oja, ik was effe half ingedommeld ofzo.

Shamalamadindon @spiree • 1 december 2016 14:26

Maar dat is dan dus al potentie om een mitm aanval uit te voeren dus het is inderdaad onveilig.

[Reactie gewijzigd door Shamalamadindon op 23 juli 2024 07:21]

comecme @Shamalamadindon • 1 december 2016 22:14

Wat bedoel je met een html redirect? Via de http status code? Maar wat bedoel je dan met op webserver niveau?

Verwijderd 1 december 2016 09:20

Is het erg als alleen de homepagina geen https ondersteunt? Als alle linkjes vanaf de homepagina wel https ondersteunen lijkt het mij als leek op dit gebied niet zo erg, of werkt het niet zo?

Shamalamadindon @Verwijderd • 1 december 2016 12:09

Mitm aanval mogelijk waardoor dus juist een van de linkjes aangepast kan worden door een 3de partij.

Verwijderd @Shamalamadindon • 1 december 2016 15:15

Kort maar krachtig

Kevinp 1 december 2016 09:52

Tja wat mij verbaast, waarom is er niet één overheids website waar binnen je als provincie en gemeente je informatie kwijt kan.

Zo moeilijk is het niet te maken. En zo regel je de veiligheid op hoger niveau zo goed mogelijk.

Nu is het maar net aan de gemeente wat ze doen de website en welke prioriteit het heeft. En tja het kost nogal wat geld zeker bij kleine gemeentes om iets aan te laten passen.

Maurits van Baerle @Kevinp • 1 december 2016 10:18

Hier in het Verenigd Koninkrijk zitten we daar heel dicht tegenaan. Vrijwel alle sites van de landelijke overheid (25 ministeries en 374 overheidsinstanties) zitten onder gov.uk en gebruiken dezelfde structuur, opmaak en waarschijnlijk ook PKI.

Het resultaat is dat alle overheidsdiensten, van gezondheidsadvies tot belastingen, van reisadvies tot rijbewijzen allemaal veilig zijn, toegankelijk zijn voor mensen met een handicap (grote letters, compatibel met screenreaders, niet te druk etc.) en herkenbaar zijn aan één huisstijl.

Gov.uk wint dan ook regelmatig prijzen voor hun website.

Ik kan me zelfs voorstellen dat het voor de verschillende overheidsorganisaties wel handig is. Die hoeven niet meer hun eigen site in de lucht te houden, ze hoeven alleen een stukje van het gov.uk systeem toebedeeld krijgen.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 07:21]

gubyan 1 december 2016 09:11

Heb ervaring met genoemde overheid. De hoeveelheid mensen die kennis van zaken dachten te hebben is veel te groot. Veel pluimvee (haantjes) en weinig olifanten (experts). I am not surprised.

aequitas

1 december 2016 09:43

Voor een actueel overzicht van beveiliging van gemeentewebsites zie: https://faalkaart.nl

kowapanga 1 december 2016 09:44

En dan hoor je vanochtend in het nieuws "Helft overheids websites makkelijk te hacken"

Hou a.u.b op met dit soort "onderzoeken", is totaal onnodig en geeft de media alleen maar brandstof om onzin uit te kramen over hackers.

Is een website alleen informatief bedoeld en word er geen data opgeslagen op wat voor manier dan ook? dan zie ik geen nut voor een SSL certificaat

kristofv 1 december 2016 09:34

Als er geen logon proces/interactie met de user wordt aangeboden op de website is https dan ook vrij nutteloos...

Vind toch wel dat er een beetje te veel aan bangmakerij wordt gedaan omtrent http. Voor veel zaken is het helemaal niet erg das alles onversleuteld doorgegeven wordt.

Yggdrasil

@kristofv • 1 december 2016 10:14

Er is meer data dan alleen inloggegevens die je als privédata kunt zien. Telefoonnummer, e-mailadres, fysiek adres, geolocatie-sensordata, etc. Daarnaast is er de authenticatie-kant van HTTPS, dus dat je met de juiste server verbonden bent. Ook de performance-bonus van HTTP/2 is mooi meegenomen. Er zijn nog meer redenen om het wél te doen, maar ik hou het simpel.

Het is inderdaad niet nodig om alles te versleutelen, maar bijna elke site kent wel een paar pagina's waarop het wél verstandig is en dan is het makkelijker om de hele site te doen.

Wat ik mooi vind aan initiatieven zoals Let's Encrypt is dat het (naast gratis certificaten) heeft gezorgd voor betere automatisering van TLS. Het is nu voor 99% van de websites zo eenvoudig geworden dat het kostenplaatje is verandert. Het levert je nu meestal meer op dan het je kost.

kristofv @Yggdrasil • 1 december 2016 10:29

Uiteraard zijn er redenen om het wel te doen, het is een goed idee daar twijfelt niemand over.

Maar het is niet zo dat plain http opeens een garantie is voor problemen, zo komt de berichtgeving wel een beetje over vind ik.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (90)

Sorteer op:

Weergave: