Nederlandse websites die een beveiligde verbinding (https) aanbieden zijn niet altijd veilig. Dat blijkt uit onderzoek van adviesbureau LBVD, dat werd uitgevoerd in het kader van April Awareness 2015. Slechts 13 procent van de Nederlandse websites met https biedt een daadwerkelijk veilige https-configuratie aan.
Tijdens April Awareness 2015 controleert LBVD hoe veilig de websites van Nederlandse organisaties zijn. Hiervoor heeft het adviesbureau alle 36.142.560 ip-adressen in Nederland gescand. Hiervan hebben 1.123.457 ip-adressen een webserver en daarvan hebben er 427.717 een veilige https-verbinding. Van alle Nederlandse websites met een https-beveiligde verbinding blijkt echter slechts 13 procent goed geconfigureerd en dus veilig te zijn. Een goede https-verbinding bestaat uit transport layer security (tls) zonder RC4 ciphers en zonder secure sockets layer (ssl)v3. Bij de overige 87 procent zien websitebezoekers wel een groen slotje, maar dit is volgens LBVD schijnveiligheid.
‘Wij zijn geschokt door dit resultaat. Dit is veel minder dan wij hadden verwacht. Wij hopen dat systeembeheerders door April Awareness nog eens goed naar hun https-configuratie kijken en verbeteringen aanbrengen. Hiermee zorgen we er samen voor dat de verbindingen afdoende beveiligd zijn en websitebezoekers geen vals gevoel van veiligheid krijgen’, aldus het adviesbureau. Volgens LBVD moet al het webverkeer standaard via https verlopen. Dit zorgt voor een veiliger internet en een leefbare digitale wereld.
TLS
In de praktijk blijkt https complex om goed in te richten. Het foutief implementeren van één element kan voor risico’s op de hele website zorgen. Tls is volgens de het adviesbureau, met de juiste configuratie, de enige veilige manier om https aan te bieden. 35,3 procent van alle ip-adressen die https aanbieden ondersteunt tls. Tls heeft op dit moment drie versies, waarvan de nieuwe relatief iets beter zijn dan de oudere. Van alle ip-adressen die tls ondersteunen maakt 99,5 procent gebruik van tls1.0, gevolgd door tls1.1 (43,6 procent) en tls1.2 (41,7 procent). Ip-adressen kunnen meerdere versies ondersteunen. Tot slot maakt 68,6 procent gebruik van het onveilige sslv3 en gebruikt 77,8 procent van de tls-ondersteuningen de onveilige RC4 ciphers.
April Awareness
Tijdens de jaarlijkse actie ‘April Awareness’ doet adviesbureau LBVD onderzoek naar de digitale wereld. Dit jaar wordt de beveiligde verbinding van websites van Nederlandse organisaties getest. Deelnemers ontvangen een rapportage met hun scores ten opzichte van andere organisaties binnen het onderzoek. Elke deelnemer doet mee met de benchmark en ontvangt een rapportage waarin LBVD laat zien hoe ze scoren ten opzichte van andere organisaties binnen het onderzoek. Het onderzoek wordt gevoerd bij deelnemers in de volgende sectoren, waaronder: zorginstellingen, vervoersbedrijven, lokale overheden, provinciale overheden, zakelijke dienstverleners, ict-dienstverleners, banken en verzekeraars.