Minister: wettelijke invoering https geldt alsnog voor alle overheidswebsites

Minister van Binnenlandse Zaken Ronald Plasterk heeft in de Tweede Kamer gezegd dat hij alsnog een wettelijke verplichting wil invoeren voor het gebruik van een beveiligde https-verbinding door overheidssites.

https sslEerder stelde hij dat dit alleen nodig zou zijn voor sites die gevoelige informatie van burgers verwerken. Daarnaast bestond de doelstelling om eind 2017 alle overheidswebsites waar persoonsgegevens en andere gevoelige gegevens worden gecommuniceerd van een versleutelde verbinding te voorzien. Nu.nl schrijft dat de minister de invoering van https wil verplichten na de invoering van de Wet generieke digitale infrastructuur. Waarschijnlijk is dat pas in 2018.

Volgens het ministerie van Binnenlandse Zaken moet de wet in de tweede helft van dit jaar naar de Tweede Kamer gestuurd worden. Als de wet daarna wordt aangenomen, wil Plasterk het gebruik van een beveiligde verbinding voor alle overheidssites via een algemene maatregel van bestuur verplichten. De nieuwe wet stelt regels rond de in te voeren elektronische authenticatiemiddelen.

De discussie over https bij overheidssites begon na een rapport van de Open State Foundation, waaruit bleek dat ongeveer de helft van de homepagina's van Nederlandse overheidssites geen beveiligde verbinding gebruikt. Naar aanleiding van het rapport werden Kamervragen gesteld, waarop Plasterk antwoordde dat het rapport 'enige nuance verdient' en dat de beveiliging moet afhangen van de aard van de verstuurde gegevens. Https zorgt naast een beveiligde verbinding er bijvoorbeeld ook voor dat gebruikers de identiteit van een site kunnen controleren.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-01-2017 16:21
94 • submitter: JJ93

18-01-2017 • 16:21

94 Linkedin

Submitter: JJ93

Lees meer

VVD en D66 willen dat burgers zelf 'digitale kluis' met persoonsgegevens beheren Nieuws van 13 juli 2018
Ministerraad stemt in met wetsvoorstel voor eID en gebruik open standaarden Nieuws van 8 juni 2018
Meerderheid van Nederlandse scholen gebruikt geen https voor website Nieuws van 6 december 2017
Twee derde van zorgwebsites ondersteunt nog geen https Nieuws van 17 augustus 2017
Beveiliging persoonsgegevens gemeente Rotterdam schiet ernstig tekort Nieuws van 24 maart 2017
'Ondanks verbetering nog steeds veel overheidswebsites zonder https' Nieuws van 10 maart 2017
'Https ontbreekt bij 85 procent bedrijfswebsites die gevoelige data verwerken' Nieuws van 25 januari 2017
Plasterk: Https bij overheidswebsites alleen nodig bij gevoelige gegevens Nieuws van 9 januari 2017
Helft homepagina's van Nederlandse overheidswebsites gebruikt geen https Nieuws van 1 december 2016
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Https Overheid Security

Reacties (94)

-Moderatie-faq
94
90
38
9
0
41
Wijzig sortering
Justice
18 januari 2017 16:26
Voor complexe sites of hele oude sites is tijd nodig om HTTPS in te voeren, zie bijvoorbeeld The Guardian
https://www.theguardian.c...ardian-has-moved-to-https
AnonymousWP
@Justice18 januari 2017 16:29
Ook tweakers.net valt hieronder. Het was écht niet makkelijk voor Tweakers, omdat alle oude plaatjes nog allemaal via HTTP liepen, en dus moest er een HTTPS-camouflage-proxy worden gebruikt. Zie hier voor het volledige artikel door de lead developer van Tweakers, Arjen van der Meijden: reviews: Tweakers stapt over op https

En hier nog een handige afbeelding uit het Tweakers artikel over hoe het werkt (met betrekking tot afbeeldingen en de HTTPS-camouflage-proxy: https://ic.tweakimg.net/ext/i/2001095845.png

[Reactie gewijzigd door AnonymousWP op 18 januari 2017 16:38]

Knippr
@AnonymousWP18 januari 2017 17:20
Voor grote sites is het inderdaad geen kleine klus.

Overigens vind ik het een slecht idee om 3rd party plaatjes te embedden. In zekere zin is het diefstal van bandbreedte, maar nog belangrijker is het moeilijk te onderhouden, en links zullen voortdurend breken.
Blokker_1999
@Knippr18 januari 2017 18:31
Je kan soms niet anders. Zeker daar waar user generated content te vinden is zoals op GoT en de blogs. Die moet je in principe extern laten staan om niet beschuldigd te worden van eventueel copyright.
incaz
@Blokker_199918 januari 2017 21:06
Tegelijkertijd is dat voor overheidssites veel minder relevant, maar is data-integriteit veel belangrijker. Het embedden van externe content lijkt me niet geschikt voor overheidssites.
Knippr
@Blokker_199918 januari 2017 22:24
Het kan wel anders, gewoon geen image embeds mogelijk maken, en gebruikers gewoon laten linken.

Ik weet dat dat een simpel antwoord is, maar het kan in veel gevallen toch de beste beslissing zijn. Veel websites zullen ook een hotlink via een embed absoluut niet op prijs stellen. Dat is overigens technisch tegen te gaan, maar velen zullen dat niet doen.

Een mooie middenweg is gebruikers dwingen een bepaalde dienst te gebruiken die juist bedoeld is voor images, zoals imgur.
Tjolk
@Knippr19 januari 2017 11:21
Voor overheidswebsites is dergelijke 3rd-party content die door gebruikers wordt geplaatst volgens mij niet zozeer van toepassing. Misschien een enkeling, maar verreweg de meeste sites communiceren hooguit met andere overheidsorganen. Eventuele user-generated-content zal voornamelijk op het eigen domein gehost worden.
lappro
@Tjolk26 januari 2017 01:05
Wat je wel vind op overheidssites zijn embeds van allerlei 3rd party content. Nu is dat voor Youtube/Twitter enz geen probleem gezien die gewoon https hebben, maar als je nu een artikel wil opnemen van een lokale krant kan je dan tegen problemen aanlopen.

Natuurlijk kan je dan gewoon linken ipv embedden maar het zijn wel keuzes die gemaakt moeten worden.

Edit: zie nu dat het een beetje zinloos was om zo laat nog te reageren.

[Reactie gewijzigd door lappro op 26 januari 2017 01:06]

R4gnax
@Blokker_199918 januari 2017 20:40
Je kan soms niet anders. Zeker daar waar user generated content te vinden is zoals op GoT en de blogs. Die moet je in principe extern laten staan om niet beschuldigd te worden van eventueel copyright.
En om niet beschuldigd te worden van inbreuk op privacy wetgeving ben je verplicht er zorg voor te dragen dat plaatjes of videos die van een ander domein afkomen, jouw bezoekers niet gaan tracken via tracking cookies.

Wat dat betreft is de beste oplossing een proxy die alles controleert en sanitized en o.a. dus ook cookies weg sloopt. Met zo'n proxy ben je enkel doorgeefluik en breek je vziw geen copyright in de zin dat je een fysieke kopie hebt gemaakt.

[Reactie gewijzigd door R4gnax op 18 januari 2017 20:42]

ollie1965
18 januari 2017 16:40
Raar ik dacht dat de GDI gisteren op de agenda stond van de tweede kamer (had hem in mijn agenda gezet, maar waarschijnlijk weer uitgesteld voor een spoeddebatje).
Jammer want er hangt nog even veel meer aan vast dan alleen een beetje HTTPS, het zou eigenlijk morgen door de tweede kamer moeten als we niet te ver achter willen lopen.
Dan doet een land als Estland het toch wel beter dan ons (hint)
DukeBox
18 januari 2017 16:29
En dat terwijl het niet echt bepaald rocket science is...

Ik kan mij niet voorstellen dat de beheerders niet gewoon https naast http op kunnen zetten.

Waarschijnlijk nog wel een klus voor mixed content maar als alles via https is te benaderen kan je op zich alles in een keer omzetten en de doorverwijzing van http naar https aanzetten.
kristofv
@DukeBox18 januari 2017 16:52
Dat is ineens ook waarom zoveel IT projecten fout gaan.

Op het eerste zicht lijkt het allemaal vaak relatief simpel te realiseren en op basis van die eerste indruk wordt vaak het budget/timeframe bepaald.

Maar eens effectief bezig komt men erachter dat er toch wel heel wat verborgen complexiteit is.. met alle gevolgen vandien
arjankoole
@kristofv18 januari 2017 17:16
volgens mij komt het doorgaans meer door feature-creep.

- oh, maar deze feature en deze moet er ook bij.
cracking cloud
@kristofv18 januari 2017 17:23
Daarom vond ik het van The Guardian (omdat iemand anders dat voorbeeld hier noemde) wel slim dat ze het middels Defeat in detail hebben aangepakt.

"One advantage of this strategy is that it enabled us to detect real problems rather than discussing hypothetical ones and improve our confidence step by step."

Misschien dat we daar in Nederland ook nog wat van kunnen leren...
Zoop
@DukeBox18 januari 2017 16:54
Rocket science niet, veel werk, mogelijk wel.
Gewoon alle verkeer omgooien via https is het probleem niet, maar ook zorgen dat extern gelinkte bronnen dan ook https zijn (en nog functioneren) is een ander verhaal.
DukeBox
@Zoop18 januari 2017 16:58
Dat geld alleen voor gelinkte data (images .e.d) buiten het domein. En mocht dat daadwerkelijk erg veel zijn, kan je natuurlijk ook kiezen voor een oplossing zoals t.net.
Blokker_1999
@DukeBox18 januari 2017 18:32
Een oplossing die dus weer veel tijd kost om te implementeren en testen.
DukeBox
@Blokker_199918 januari 2017 18:46
Hoezo veel tijd ? Het is een bestaande oplossing.
Tjidde
@DukeBox19 januari 2017 01:26
Omdat ook bestaande oplossingen getest moeten worden. Plus vaak met dit soort oplossingen moet er nog veel ingesteld en geprogrammeerd worden op de achtergrond.
AnonymousWP
@DukeBox18 januari 2017 16:30
Dat ligt er maar net aan hoe groot je site is, en hoeveel mixed content er is. Als er veel mixed content is, kan het best een hele klus zijn.
CAPSLOCK2000
@AnonymousWP18 januari 2017 16:54
Het zou al een hoop helpen als iedereen zich bewust was van dit probleem en er vanaf nu rekening mee zou houden. Dan stoppen we in ieder geval met het probleem groter te maken.
DukeBox
@AnonymousWP18 januari 2017 16:56
:? Dat schrijf ik toch ?

[Reactie gewijzigd door DukeBox op 19 januari 2017 17:43]

AnonymousWP
@DukeBox18 januari 2017 16:58
offtopic:
Oepsie, sorry! Ik ging al reageren toen ik nog alleen maar je eerste zin had gelezen. :+. Doe maar net alsof ik niks gezegd heb :p.

[Reactie gewijzigd door AnonymousWP op 18 januari 2017 17:00]

tvdijen
@DukeBox19 januari 2017 08:50
Het gaat niet alleen om een certificaatje.. Verkeer vanaf het internet moet geïnspecteerd worden, dus moet je gaan offloaden, enz.
DukeBox
@tvdijen19 januari 2017 09:49
Waarom moet verkeer vanaf internet geïnspecteerd worden ? Of eigenlijk, waarom is dat dan nu niet het geval ?
tvdijen
@DukeBox19 januari 2017 16:50
Omdat verkeer wat van internet een overheidsnetwerk opkomt als onvertrouwd aangemerkt wordt.. Die inspectie vindt nu ook al plaats. De extra laag complexiteit zit hem in offloading.
DukeBox
@tvdijen19 januari 2017 17:42
Dat heeft helemaal niets met https te maken. Dat gaat alleen van overheid netwerk of derden naar de client toe. Juist dat laatste is een probleem omdat wanneer dit niet via https gaat, de site niet gemarkeerd wordt als veilig omdat er zogenaamde 'mixed content' op staat. Dit heeft niets te maken met verkeer dat naar een overheid netwerk toe gaat.
tvdijen
@DukeBox19 januari 2017 21:55
Op het moment dat jij een pagina opvraagt stuur je data naar de betreffende webserver. Dat verkeer moet geïnspecteerd worden.. Als het verkeer geëncrypt is, moet het eerst geoffload worden voor het geïnspecteerd kan worden... Het is an sich geen rocket-science, maar het gaat verder dan alleen even een certificaatje installeren.

[Reactie gewijzigd door tvdijen op 19 januari 2017 22:01]

DukeBox
@tvdijen20 januari 2017 12:03
Het stukje 'inspecteren' koppelde ik niet zo snel aan beveiliging, nu snap ik wat je bedoeld. Ja, dat is zeker meer werk..

Aangezien de sites waar encryptie wel van belang is al zo worden aangeboden, mag ik toch hopen dat er al iets als ssl termination wordt gebruikt alvorens verkeer verder door te laten. Het erbij draaien van de site welke nu zonder ssl is mag dan echt niet veel meer werk zijn.
tvdijen
@DukeBox20 januari 2017 13:25
Zeker, dat is er allemaal an sich wel..
De meeste tijd zit hem in het proces. Vele schakels en partijen die een plasje willen doen over een dergelijke change, om nog maar niet te spreken over het offreren / doorbelasten van het certificaat.

[Reactie gewijzigd door tvdijen op 20 januari 2017 13:25]

Daan_
18 januari 2017 16:25
Goede zaak als dit verplicht wordt voor alle overheid sites.
Titan_Fox
18 januari 2017 16:26
Goh, Plasterk is weer eens lekker aan het draaikonten. Je zou denken dat hij een echte politicus is ...
UltimusXI
@Titan_Fox18 januari 2017 17:05
Je kunt het niet altijd direct bij het goede eind hebben. Beter draaikonten en uiteindelijk bij de beste beslissing uitkomen dan vasthouden aan een verkeerde uitspraak of verkeerd plan, omdat je dan voorkomt dat iemand je draaikont noemt.
GiLuX
@UltimusXI18 januari 2017 18:11
ja maar... plassterk slaat bijna altijd de plank mis helaas...
dat hij vaak volledig ignorant is, is 1 ding, maar daarbij ook continue arrogant.. tja.. vervelende combi.

zo stelde hij niet zo lang geleden naar aanleiding van vragen van een onderzoeksprogramma dat de (amsterdamse) bevolkings adminstratie waterdicht was ondanks de vele klachten dat het zo lek was als een mandje en wildvreemde mensen zich zonder enige vorm van controle op een willekeurig adres konden inschrijven in amsterdam en hierdoor de echte bewoners met allerlei extra belasting aanslagen kwamen te zitten.

De reporter in kwestie heeft zich toen om plassterk wakker te schudden direct op het thuisadres van Plassterk laten inschrijven bij de gemeente en is toen met een bakfiets vol huisraad er heen gegaan en aangebeld met de mededeling dat hij plassterks nieuwe huisgenoot was met bewijs van inschrijving in de hand.

plassterk was uiteraard not amused...

ik zelf vond het redelijk hilarisch maar tegelijkertijd wel beschamend en triest dat deze man aan de knoppen draait.
bytemaster460
@UltimusXI18 januari 2017 18:50
Ministers maken constant uitglijders als het gaat om IT-gerelateerde zaken. Je zou toch mogen verwachten dat een minister anno 2017 beslagen ten ijs komt als jij zelf en je collega's al een paar keer onderuit zijn gegaan.
CH4OS
@Titan_Fox18 januari 2017 16:43
Ter aanvulling, Titan_Fox doelt op dit bericht van vorige week:

nieuws: Plasterk: Https bij overheidswebsites alleen nodig bij gevoelige gege...
mashell
@Titan_Fox18 januari 2017 17:07
Is dit draaikonten of voortschreidend inzicht? Ik zet in op het laatste omdat het een duidelijk stap in de juiste richting is.
sugarlee89
18 januari 2017 17:04
Laatst een webshop waar ik alleen via http kon bestellen, zo 2001. Meteen verder gezocht. Ook betaling kon niet via ideal maar oldskool overboeken. Bestelformulier werd nog net niet via e-mail verstuurd. Of nog erger een frontpage website haha.
AnonymousWP
@sugarlee8918 januari 2017 17:14
Dat is belachelijk en zal ik al meteen niet vertrouwen. Ik vind dat er een wet moet komen die webshops verplicht om de betalingen én bestellingen (en het liefst de hele website) via HTTPS te laten lopen.
mrdemc
@AnonymousWP18 januari 2017 18:05
Die is er ook. Het is verplicht in NL om een goede beveiliging toe te passen voor de verwerking van persoonsgegevens volgens autoriteit persoonsgegevens. Op Tweakers is ooit een bericht verschenen dat SSLv2 daarvoor zelfs niet voldoende zou zijn.
AnonymousWP
@mrdemc18 januari 2017 18:43
Aha, ik dacht al. Ik vond het namelijk al heel erg frappant dat er géén wet voor zou zijn. Hoe kan het dan zo zijn dat er géén HTTPS voorkomt op de website waar jij wilde bestellen? Er simpelweg lak aan hebben?
LopendeVogel
@AnonymousWP19 januari 2017 10:21
Dat was iemand anders, je reageert op verschillende personen momenteel.
Maar, als de overheid zelf al niet wakker ligt van wel of geen HTTPS bij hun eigen websites, waar ontiegelijk veel privé zaken op staan. Waarom een ''simpele'' webshop wel?
wicked1980
18 januari 2017 17:19
Zomaar een overheidssite die geen certificaat heeft:

http://www.pki-overheid-certificaat.nl/

Is dus een site die moet assisteren bij het aanvragen van certificaten zodat je via Digipoort aangifte kan doen. En dan juist zo'n site geen https geven 8)7
Rutix
@wicked198018 januari 2017 18:01
Behalve dat dat geen website van de overheid is. Die website is namelijk van: http://www.skillsource.nl/
mrdemc
@wicked198018 januari 2017 18:07
Is ook maar van een bedrijf, niet de overheid. Het rootcertificaat wordt beheert door Logius onder het min. BIZA. Daarnaast worden de PKIoverheid certificaten voor personen, beroepsgebonden en server certificaten ook door o.a. KPN en QuoVadis geleverd. Het is in dit geval dus geen overheidswebsite.
8088
@wicked198018 januari 2017 18:07
Zomaar een overheidssite
Dat is geen overheidssite. Maar ironisch is het wel.
kr4t0s
18 januari 2017 17:31
Ik ben er druk mee bezig! }:O
vinno97
19 januari 2017 10:33
Als ze dan nu ook direct EV certificaten gaan gebruiken zou het helemaal goed zijn. Zelfs DigID gebruikt om een of andere reden nog geen EV certificaat. Het is niet minder veilig, maar die extra bevestiging is wel fijn als je werkt met je meest privacygevoelige informatie
Tjolk
@vinno9719 januari 2017 11:29
De versleuteling is natuurlijk exact hetzelfde (zoals je zelf al zegt). EV voegt eigenlijk alleen maar het groene balkje toe waar de bedrijfsnaam in staat. Leuk voor de eerste oogopslag, maar diezelfde informatie (en meer) krijg je natuurlijk ook als je op het slotje klikt.

De kosten zijn wel een stuk hoger, al gauw € 100,- per certificaat per jaar. Geen wereldbedrag natuurlijk, maar de overheid wordt wel om minder beschuldigd van geldverspilling. ;)
eni191
19 januari 2017 11:23
Ik zou ook voor DNSSEC willen pleiten.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee