Start of Main Content

Veilig HTTP (HTTPS) bij de overheid

Laatst bijgewerkt 06-12-2018

Deze data laat zien of overheidswebsites ondersteuning bieden voor het HTTPS protocol (https://) en hoe sterk de implementatie daarvan is. HTTPS zorgt voor een veilige en niet manipuleerbare internetverbinding tussen websites en haar bezoekers.

HTTPS en TLS data zijn voor het laatst verzameld door middel van een scan van het publieke internet op 06-12-2018.

Deze website is gemaakt door de Open State Foundation om burgers en overheden inzicht te geven in de stand van zaken rondom HTTPS bij overheidsdomeinen.

Het gebruik van een door HTTPS beveiligde websiteverbinding is om verschillende redenen erg belangrijk:
  • Alle gegevens die via een onbeveiligde verbinding (HTTP) worden verstuurd zijn te onderscheppen door anderen. Vaak vraag je persoonlijke informatie op bij overheden en die moeten dus goed beschermd worden.
  • Ook verstuur je gevoelige gegevens naar overheidswebsites, door bijvoorbeeld een formulier in te vullen, documenten te verzenden of bepaalde zoektermen te gebruiken. Hierbij geldt ook dat een HTTP verbinding dit niet beveiligt.
  • Gegevens die via een HTTP verbinding worden verstuurd kunnen onderweg veranderd worden door anderen. Enkel bij een HTTPS verbinding weet je zeker dat de ontvangen of verstuurde gegevens niet aangepast zijn.
  • Websites die HTTPS gebruiken kunnen gebruik maken van het moderne HTTP/2 protocol dat zorgt voor een snellere verbinding.
De resultaten van Pulse komen geautomatiseerd tot stand en het kan zijn dat er fouten tussen zitten. We proberen maandelijks alle domeinen opnieuw te analyseren zodat de resultaten up to date blijven. We bieden geen individuele hulp bij het oplossen van HTTPS problemen. Desalniettemin staan hieronder handige tips en informatie om een betere score op Pulse te bewerkstelligen voor je domein.

Welke domeinen worden er geanalyseerd?

Pulse analyseert de ondersteuning, het afdwingen en de kwaliteit van HTTPS van publiek toegankelijke Nederlandse overheidsdomeinen. In Pulse zitten Nederlandse overheidsdomeinen van de Rijksoverheid afkomstig van het Websiteregister van de Rijksoverheid, de domeinen van alle gemeenten (xml) komen van almanak.overheid.nl en de domeinen van gemeenschappelijke regelingen (xml) komen ook van alamank.overheid.nl. Daar hebben we zelf nog de domeinen van provincies en waterschappen aan toegevoegd. De domeinen uit deze bronnen zijn samengevoegd in deze lijst van overheidsdomeinen. Er wordt niet automatisch gezocht naar subdomeinen en aangezien HTTPS per subdomein anders geïmplementeerd kan worden kunnen de resultaten van een geanalyseerd domein niet doorgetrokken worden naar (andere) subdomeinen. Domeinen die enkel redirecten naar andere websites worden ook geanalyseerd, maar het domein waar naar geredirect wordt analyseren we niet.

Op dit moment analyseren we meer dan 1.700 domeinen.

HTTPS implementeren

Het proces om sterke HTTPS te ondersteunen en af te dwingen voor een web service kan afhankelijk van de technologie, grootte en ouderdom van de service enorm verschillen.

Deze data laat zien of overheidsdomeinen ondersteuning bieden voor het HTTPS protocol (https://) en hoe sterk de implementatie daarvan is. HTTPS zorgt voor een veilige internetverbinding tussen websites en haar bezoekers. Voor overheidswebsites wordt HTTPS aanbevolen en het onderliggende protocol TLS is verplicht.

Overheden die werken aan het implementeren van HTTPS kunnen voor meer informatie terecht op onder andere de pagina's van Forum Standaardisatie over HTTPS en TLS. Ook het NCSC (Nationaal Cyber Security Centrum) biedt informatie over HTTPS en TLS.

HTTPS analyse

Pulse analyseert het gedrag van vier "endpoints" van elk domein: http://, http://www, https://, en https://www. Data van deze endpoints wordt gebruikt om het totale gedrag van het domein te bepalen.

Voor deze analyse wordt gebruikt gemaakt van open source tools en de SSL Labs API.

Historische resultaten

De huidige scanresultaten kunnen makkelijk gedownload worden door bovenaan de 'Per Domein'-tabel op 'Download CSV' te klikken. De resultaten van alle voorgaande scans zijn te vinden op ons dataportaal: https://data.openstate.eu.

Velden

  • Ondersteunt HTTPS
  • Waarden: Nee, Ja
  • Of een domein met HTTPS gebruikt kan worden op ofwel de directe domeinnaam of het www subdomein. Domeinen die van HTTPS terug redirecten naar HTTP worden als een "Nee" beschouwd.
  • Dwingt HTTPS Af
  • Waarden: Nee, Ja
  • Of een domein standaard HTTPS gebruikt. Dit kan bewerkstelligd worden door ofwel HTTP endpoints te redirecten naar HTTPS of door enkel bereikbaar te zijn via HTTPS.
  • Strict Transport Security (HSTS)
  • Waarden: Nee, Ja
  • Of een domein HTTP Strict Transport Security heeft geïmplementeerd, wat ervoor zorgt dat browsers die het ondersteunen enkel met dat domein communiceert via HTTPS (zelfs als de gebruiker op een HTTP link klikt).
  • "Ja" betekent dat een geldige Strict-Transport-Security header met een max-age waarde (in seconden) van ten minste 1 jaar (31536000) aanwezig is op de standaard endpoint van het domein.
  • Preloaded (aanbevolen)
  • Waarden: Gereed, Ja
  • "Gereed" betekent dat het domein een sterke HSTS header heeft geïmplementeerd op haar hoofddomein waarvan het beleid alle subdomeinen omvat en toestemming heeft gegeven aan preloading door alle grote browsers als HTTPS-only.
  • "Ja" betekent dat het domein daadwerkelijk publiekelijke genoemd wordt in de Chrome preload lijst en de include_subdomains optie in die lijst heeft ingeschakeld. Het bereiken van deze stap betekent in feite dat de namespace van een domein permanent en volledig gebruikt maakt van HTTPS.
  • SSL Labs Klasse
  • Waarden: T, F, C, B, A-, A, A+
  • Een klassering die de kwaliteit van een HTTPS configuratie meet, zoals berekend door SSL Labs. Dit is een gratis en algemeen gebruikte benchmarkdienst.
  • De klasseringen worden berekend middels een gedetailleerde methodologie die kijkt naar de sterkte van de cryptografische sleutels, keuze van ciphers, ondersteunde protocollen, en andere relevante standaarden (zoals HSTS).
  • De klasseringen zijn klikbaar en linken voor elk domein naar een gedetailleerd rapport op SSL Labs. Als voorbeeld, bekijk het SSL Labs rapport voor Pulse zelf.