Start of Main Content

Veilig HTTP (HTTPS) in het onderwijs

Laatst bijgewerkt 19-02-2019

Deze data laat zien of websites van onderwijsinstellingen ondersteuning bieden voor het HTTPS protocol (https://) en hoe sterk de implementatie daarvan is. HTTPS zorgt voor een veilige en niet manipuleerbare internetverbinding tussen websites en haar bezoekers.

HTTPS en TLS data zijn voor het laatst verzameld door middel van een scan van het publieke internet op 19-02-2019.

Deze website is gemaakt door de Open State Foundation om burgers en organisaties inzicht te geven in de stand van zaken rondom HTTPS bij onderwijsdomeinen.

Het gebruik van een door HTTPS beveiligde websiteverbinding is om verschillende redenen erg belangrijk:
  • Alle gegevens die via een onbeveiligde verbinding (HTTP) worden verstuurd zijn te onderscheppen door anderen. Het onderwijs wordt steeds digitaler en de bijbehorende (persoonlijke) gegevens moeten dus goed beschermd worden.
  • Gegevens die via een HTTP verbinding worden verstuurd kunnen onderweg veranderd worden door anderen. Enkel bij een HTTPS verbinding weet je zeker dat de ontvangen of verstuurde gegevens niet aangepast zijn.
  • Websites die HTTPS gebruiken kunnen gebruik maken van het moderne HTTP/2 protocol dat zorgt voor een snellere verbinding.
De resultaten van Pulse komen geautomatiseerd tot stand en het kan zijn dat er fouten tussen zitten. We bieden geen individuele hulp bij het oplossen van HTTPS problemen. Desalniettemin staan hieronder handige tips en informatie om een betere score op Pulse te bewerkstelligen voor je domein.

Welke domeinen worden er geanalyseerd?

Pulse analyseert de ondersteuning, het afdwingen en de kwaliteit van HTTPS van publiek toegankelijke Nederlandse onderwijsdomeinen. Deze halen wij uit de open data die door DUO beschikbaar wordt gesteld. Er wordt niet automatisch gezocht naar subdomeinen en aangezien HTTPS per subdomein anders geïmplementeerd kan worden kunnen de resultaten van een geanalyseerd domein niet doorgetrokken worden naar (andere) subdomeinen. Domeinen die enkel redirecten naar andere websites worden ook geanalyseerd, maar het domein waar naar geredirect wordt analyseren we niet.

HTTPS implementeren

Het proces om sterke HTTPS te ondersteunen en af te dwingen voor een web service kan afhankelijk van de technologie, grootte en ouderdom van de service enorm verschillen.

Deze data laat zien of onderwijsdomeinen ondersteuning bieden voor het HTTPS protocol (https://) en hoe sterk de implementatie daarvan is. HTTPS zorgt voor een veilige internetverbinding tussen websites en haar bezoekers. Voor websites in de publieke sector wordt HTTPS aanbevolen en het onderliggende protocol TLS is verplicht.

Onderwijsinstellingen die werken aan het implementeren van HTTPS kunnen voor meer informatie terecht op onder andere de pagina's van Forum Standaardisatie over HTTPS en TLS. Ook het NCSC (Nationaal Cyber Security Centrum) biedt informatie over HTTPS en TLS.

HTTPS analyse

Pulse analyseert het gedrag van vier "endpoints" van elk domein: http://, http://www, https://, en https://www. Data van deze endpoints wordt gebruikt om het totale gedrag van het domein te bepalen.

Voor deze analyse wordt gebruikt gemaakt van open source tools.

Historische resultaten

De huidige scanresultaten kunnen makkelijk gedownload worden door bovenaan de 'Per Domein'-tabel op 'Download CSV' te klikken. De resultaten van alle voorgaande scans zijn te vinden op ons dataportaal: https://data.openstate.eu.

Velden

  • Ondersteunt HTTPS
  • Waarden: Nee, Ja
  • Of een domein met HTTPS gebruikt kan worden op ofwel de directe domeinnaam of het www subdomein. Domeinen die van HTTPS terug redirecten naar HTTP worden als een "Nee" beschouwd.
  • Dwingt HTTPS Af
  • Waarden: Nee, Ja
  • Of een domein standaard HTTPS gebruikt. Dit kan bewerkstelligd worden door ofwel HTTP endpoints te redirecten naar HTTPS of door enkel bereikbaar te zijn via HTTPS.
  • Strict Transport Security (HSTS)
  • Waarden: Nee, Ja
  • Of een domein HTTP Strict Transport Security heeft geïmplementeerd, wat ervoor zorgt dat browsers die het ondersteunen enkel met dat domein communiceert via HTTPS (zelfs als de gebruiker op een HTTP link klikt).
  • "Ja" betekent dat een geldige Strict-Transport-Security header met een max-age waarde (in seconden) van ten minste 1 jaar (31536000) aanwezig is op de standaard endpoint van het domein.
  • Preloaded (aanbevolen)
  • Waarden: Gereed, Ja
  • "Gereed" betekent dat het domein een sterke HSTS header heeft geïmplementeerd op haar hoofddomein waarvan het beleid alle subdomeinen omvat en toestemming heeft gegeven aan preloading door alle grote browsers als HTTPS-only.
  • "Ja" betekent dat het domein daadwerkelijk publiekelijke genoemd wordt in de Chrome preload lijst en de include_subdomains optie in die lijst heeft ingeschakeld. Het bereiken van deze stap betekent in feite dat de namespace van een domein permanent en volledig gebruikt maakt van HTTPS.