Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Minister: wettelijke invoering https geldt alsnog voor alle overheidswebsites

Door , 94 reacties, submitter: JJ93

Minister van Binnenlandse Zaken Ronald Plasterk heeft in de Tweede Kamer gezegd dat hij alsnog een wettelijke verplichting wil invoeren voor het gebruik van een beveiligde https-verbinding door overheidssites.

https sslEerder stelde hij dat dit alleen nodig zou zijn voor sites die gevoelige informatie van burgers verwerken. Daarnaast bestond de doelstelling om eind 2017 alle overheidswebsites waar persoonsgegevens en andere gevoelige gegevens worden gecommuniceerd van een versleutelde verbinding te voorzien. Nu.nl schrijft dat de minister de invoering van https wil verplichten na de invoering van de Wet generieke digitale infrastructuur. Waarschijnlijk is dat pas in 2018.

Volgens het ministerie van Binnenlandse Zaken moet de wet in de tweede helft van dit jaar naar de Tweede Kamer gestuurd worden. Als de wet daarna wordt aangenomen, wil Plasterk het gebruik van een beveiligde verbinding voor alle overheidssites via een algemene maatregel van bestuur verplichten. De nieuwe wet stelt regels rond de in te voeren elektronische authenticatiemiddelen.

De discussie over https bij overheidssites begon na een rapport van de Open State Foundation, waaruit bleek dat ongeveer de helft van de homepagina's van Nederlandse overheidssites geen beveiligde verbinding gebruikt. Naar aanleiding van het rapport werden Kamervragen gesteld, waarop Plasterk antwoordde dat het rapport 'enige nuance verdient' en dat de beveiliging moet afhangen van de aard van de verstuurde gegevens. Https zorgt naast een beveiligde verbinding er bijvoorbeeld ook voor dat gebruikers de identiteit van een site kunnen controleren.

Reacties (94)

Wijzig sortering
Voor complexe sites of hele oude sites is tijd nodig om HTTPS in te voeren, zie bijvoorbeeld The Guardian
https://www.theguardian.c...ardian-has-moved-to-https
Ook tweakers.net valt hieronder. Het was écht niet makkelijk voor Tweakers, omdat alle oude plaatjes nog allemaal via HTTP liepen, en dus moest er een HTTPS-camouflage-proxy worden gebruikt. Zie hier voor het volledige artikel door de lead developer van Tweakers, Arjen van der Meijden: reviews: Tweakers stapt over op https

En hier nog een handige afbeelding uit het Tweakers artikel over hoe het werkt (met betrekking tot afbeeldingen en de HTTPS-camouflage-proxy: https://ic.tweakimg.net/ext/i/2001095845.png

[Reactie gewijzigd door AnonymousWP op 18 januari 2017 16:38]

Voor grote sites is het inderdaad geen kleine klus.

Overigens vind ik het een slecht idee om 3rd party plaatjes te embedden. In zekere zin is het diefstal van bandbreedte, maar nog belangrijker is het moeilijk te onderhouden, en links zullen voortdurend breken.
Je kan soms niet anders. Zeker daar waar user generated content te vinden is zoals op GoT en de blogs. Die moet je in principe extern laten staan om niet beschuldigd te worden van eventueel copyright.
Tegelijkertijd is dat voor overheidssites veel minder relevant, maar is data-integriteit veel belangrijker. Het embedden van externe content lijkt me niet geschikt voor overheidssites.
Het kan wel anders, gewoon geen image embeds mogelijk maken, en gebruikers gewoon laten linken.

Ik weet dat dat een simpel antwoord is, maar het kan in veel gevallen toch de beste beslissing zijn. Veel websites zullen ook een hotlink via een embed absoluut niet op prijs stellen. Dat is overigens technisch tegen te gaan, maar velen zullen dat niet doen.

Een mooie middenweg is gebruikers dwingen een bepaalde dienst te gebruiken die juist bedoeld is voor images, zoals imgur.
Voor overheidswebsites is dergelijke 3rd-party content die door gebruikers wordt geplaatst volgens mij niet zozeer van toepassing. Misschien een enkeling, maar verreweg de meeste sites communiceren hooguit met andere overheidsorganen. Eventuele user-generated-content zal voornamelijk op het eigen domein gehost worden.
Wat je wel vind op overheidssites zijn embeds van allerlei 3rd party content. Nu is dat voor Youtube/Twitter enz geen probleem gezien die gewoon https hebben, maar als je nu een artikel wil opnemen van een lokale krant kan je dan tegen problemen aanlopen.

Natuurlijk kan je dan gewoon linken ipv embedden maar het zijn wel keuzes die gemaakt moeten worden.

Edit: zie nu dat het een beetje zinloos was om zo laat nog te reageren.

[Reactie gewijzigd door lappro op 26 januari 2017 01:06]

Je kan soms niet anders. Zeker daar waar user generated content te vinden is zoals op GoT en de blogs. Die moet je in principe extern laten staan om niet beschuldigd te worden van eventueel copyright.
En om niet beschuldigd te worden van inbreuk op privacy wetgeving ben je verplicht er zorg voor te dragen dat plaatjes of videos die van een ander domein afkomen, jouw bezoekers niet gaan tracken via tracking cookies.

Wat dat betreft is de beste oplossing een proxy die alles controleert en sanitized en o.a. dus ook cookies weg sloopt. Met zo'n proxy ben je enkel doorgeefluik en breek je vziw geen copyright in de zin dat je een fysieke kopie hebt gemaakt.

[Reactie gewijzigd door R4gnax op 18 januari 2017 20:42]

Raar ik dacht dat de GDI gisteren op de agenda stond van de tweede kamer (had hem in mijn agenda gezet, maar waarschijnlijk weer uitgesteld voor een spoeddebatje).
Jammer want er hangt nog even veel meer aan vast dan alleen een beetje HTTPS, het zou eigenlijk morgen door de tweede kamer moeten als we niet te ver achter willen lopen.
Dan doet een land als Estland het toch wel beter dan ons (hint)
En dat terwijl het niet echt bepaald rocket science is...

Ik kan mij niet voorstellen dat de beheerders niet gewoon https naast http op kunnen zetten.

Waarschijnlijk nog wel een klus voor mixed content maar als alles via https is te benaderen kan je op zich alles in een keer omzetten en de doorverwijzing van http naar https aanzetten.
Dat is ineens ook waarom zoveel IT projecten fout gaan.

Op het eerste zicht lijkt het allemaal vaak relatief simpel te realiseren en op basis van die eerste indruk wordt vaak het budget/timeframe bepaald.

Maar eens effectief bezig komt men erachter dat er toch wel heel wat verborgen complexiteit is.. met alle gevolgen vandien
volgens mij komt het doorgaans meer door feature-creep.

- oh, maar deze feature en deze moet er ook bij.
Daarom vond ik het van The Guardian (omdat iemand anders dat voorbeeld hier noemde) wel slim dat ze het middels Defeat in detail hebben aangepakt.

"One advantage of this strategy is that it enabled us to detect real problems rather than discussing hypothetical ones and improve our confidence step by step."

Misschien dat we daar in Nederland ook nog wat van kunnen leren...
Rocket science niet, veel werk, mogelijk wel.
Gewoon alle verkeer omgooien via https is het probleem niet, maar ook zorgen dat extern gelinkte bronnen dan ook https zijn (en nog functioneren) is een ander verhaal.
Dat geld alleen voor gelinkte data (images .e.d) buiten het domein. En mocht dat daadwerkelijk erg veel zijn, kan je natuurlijk ook kiezen voor een oplossing zoals t.net.
Een oplossing die dus weer veel tijd kost om te implementeren en testen.
Hoezo veel tijd ? Het is een bestaande oplossing.
Omdat ook bestaande oplossingen getest moeten worden. Plus vaak met dit soort oplossingen moet er nog veel ingesteld en geprogrammeerd worden op de achtergrond.
Dat ligt er maar net aan hoe groot je site is, en hoeveel mixed content er is. Als er veel mixed content is, kan het best een hele klus zijn.
Het zou al een hoop helpen als iedereen zich bewust was van dit probleem en er vanaf nu rekening mee zou houden. Dan stoppen we in ieder geval met het probleem groter te maken.
:? Dat schrijf ik toch ?

[Reactie gewijzigd door DukeBox op 19 januari 2017 17:43]

offtopic:
Oepsie, sorry! Ik ging al reageren toen ik nog alleen maar je eerste zin had gelezen. :+. Doe maar net alsof ik niks gezegd heb :p.

[Reactie gewijzigd door AnonymousWP op 18 januari 2017 17:00]

Het gaat niet alleen om een certificaatje.. Verkeer vanaf het internet moet geïnspecteerd worden, dus moet je gaan offloaden, enz.
Waarom moet verkeer vanaf internet geïnspecteerd worden ? Of eigenlijk, waarom is dat dan nu niet het geval ?
Omdat verkeer wat van internet een overheidsnetwerk opkomt als onvertrouwd aangemerkt wordt.. Die inspectie vindt nu ook al plaats. De extra laag complexiteit zit hem in offloading.
Dat heeft helemaal niets met https te maken. Dat gaat alleen van overheid netwerk of derden naar de client toe. Juist dat laatste is een probleem omdat wanneer dit niet via https gaat, de site niet gemarkeerd wordt als veilig omdat er zogenaamde 'mixed content' op staat. Dit heeft niets te maken met verkeer dat naar een overheid netwerk toe gaat.
Op het moment dat jij een pagina opvraagt stuur je data naar de betreffende webserver. Dat verkeer moet geïnspecteerd worden.. Als het verkeer geëncrypt is, moet het eerst geoffload worden voor het geïnspecteerd kan worden... Het is an sich geen rocket-science, maar het gaat verder dan alleen even een certificaatje installeren.

[Reactie gewijzigd door tvdijen op 19 januari 2017 22:01]

Het stukje 'inspecteren' koppelde ik niet zo snel aan beveiliging, nu snap ik wat je bedoeld. Ja, dat is zeker meer werk..

Aangezien de sites waar encryptie wel van belang is al zo worden aangeboden, mag ik toch hopen dat er al iets als ssl termination wordt gebruikt alvorens verkeer verder door te laten. Het erbij draaien van de site welke nu zonder ssl is mag dan echt niet veel meer werk zijn.
Zeker, dat is er allemaal an sich wel..
De meeste tijd zit hem in het proces. Vele schakels en partijen die een plasje willen doen over een dergelijke change, om nog maar niet te spreken over het offreren / doorbelasten van het certificaat.

[Reactie gewijzigd door tvdijen op 20 januari 2017 13:25]

Goede zaak als dit verplicht wordt voor alle overheid sites.
Goh, Plasterk is weer eens lekker aan het draaikonten. Je zou denken dat hij een echte politicus is ...
Je kunt het niet altijd direct bij het goede eind hebben. Beter draaikonten en uiteindelijk bij de beste beslissing uitkomen dan vasthouden aan een verkeerde uitspraak of verkeerd plan, omdat je dan voorkomt dat iemand je draaikont noemt.
ja maar... plassterk slaat bijna altijd de plank mis helaas...
dat hij vaak volledig ignorant is, is 1 ding, maar daarbij ook continue arrogant.. tja.. vervelende combi.

zo stelde hij niet zo lang geleden naar aanleiding van vragen van een onderzoeksprogramma dat de (amsterdamse) bevolkings adminstratie waterdicht was ondanks de vele klachten dat het zo lek was als een mandje en wildvreemde mensen zich zonder enige vorm van controle op een willekeurig adres konden inschrijven in amsterdam en hierdoor de echte bewoners met allerlei extra belasting aanslagen kwamen te zitten.

De reporter in kwestie heeft zich toen om plassterk wakker te schudden direct op het thuisadres van Plassterk laten inschrijven bij de gemeente en is toen met een bakfiets vol huisraad er heen gegaan en aangebeld met de mededeling dat hij plassterks nieuwe huisgenoot was met bewijs van inschrijving in de hand.

plassterk was uiteraard not amused...

ik zelf vond het redelijk hilarisch maar tegelijkertijd wel beschamend en triest dat deze man aan de knoppen draait.
Ministers maken constant uitglijders als het gaat om IT-gerelateerde zaken. Je zou toch mogen verwachten dat een minister anno 2017 beslagen ten ijs komt als jij zelf en je collega's al een paar keer onderuit zijn gegaan.
Is dit draaikonten of voortschreidend inzicht? Ik zet in op het laatste omdat het een duidelijk stap in de juiste richting is.
Laatst een webshop waar ik alleen via http kon bestellen, zo 2001. Meteen verder gezocht. Ook betaling kon niet via ideal maar oldskool overboeken. Bestelformulier werd nog net niet via e-mail verstuurd. Of nog erger een frontpage website haha.
Dat is belachelijk en zal ik al meteen niet vertrouwen. Ik vind dat er een wet moet komen die webshops verplicht om de betalingen én bestellingen (en het liefst de hele website) via HTTPS te laten lopen.
Die is er ook. Het is verplicht in NL om een goede beveiliging toe te passen voor de verwerking van persoonsgegevens volgens autoriteit persoonsgegevens. Op Tweakers is ooit een bericht verschenen dat SSLv2 daarvoor zelfs niet voldoende zou zijn.
Aha, ik dacht al. Ik vond het namelijk al heel erg frappant dat er géén wet voor zou zijn. Hoe kan het dan zo zijn dat er géén HTTPS voorkomt op de website waar jij wilde bestellen? Er simpelweg lak aan hebben?
Dat was iemand anders, je reageert op verschillende personen momenteel.
Maar, als de overheid zelf al niet wakker ligt van wel of geen HTTPS bij hun eigen websites, waar ontiegelijk veel privé zaken op staan. Waarom een ''simpele'' webshop wel?
Zomaar een overheidssite die geen certificaat heeft:

http://www.pki-overheid-certificaat.nl/

Is dus een site die moet assisteren bij het aanvragen van certificaten zodat je via Digipoort aangifte kan doen. En dan juist zo'n site geen https geven 8)7
Behalve dat dat geen website van de overheid is. Die website is namelijk van: http://www.skillsource.nl/
Is ook maar van een bedrijf, niet de overheid. Het rootcertificaat wordt beheert door Logius onder het min. BIZA. Daarnaast worden de PKIoverheid certificaten voor personen, beroepsgebonden en server certificaten ook door o.a. KPN en QuoVadis geleverd. Het is in dit geval dus geen overheidswebsite.
Zomaar een overheidssite
Dat is geen overheidssite. Maar ironisch is het wel.
Ik ben er druk mee bezig! }:O
Als ze dan nu ook direct EV certificaten gaan gebruiken zou het helemaal goed zijn. Zelfs DigID gebruikt om een of andere reden nog geen EV certificaat. Het is niet minder veilig, maar die extra bevestiging is wel fijn als je werkt met je meest privacygevoelige informatie
De versleuteling is natuurlijk exact hetzelfde (zoals je zelf al zegt). EV voegt eigenlijk alleen maar het groene balkje toe waar de bedrijfsnaam in staat. Leuk voor de eerste oogopslag, maar diezelfde informatie (en meer) krijg je natuurlijk ook als je op het slotje klikt.

De kosten zijn wel een stuk hoger, al gauw ¤ 100,- per certificaat per jaar. Geen wereldbedrag natuurlijk, maar de overheid wordt wel om minder beschuldigd van geldverspilling. ;)
Ik zou ook voor DNSSEC willen pleiten.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*