62 procent van de websites van Nederlandse overheidsorganisaties heeft geen of een verkeerd geconfigureerde https-verbinding. Van de 1816 onderzochte domeinen ondersteunt minder dan de helft (44 procent) een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. Van de 797 overheidswebsites met een https-verbinding zijn 108 niet correct geconfigureerd.
Dat blijkt uit cijfers van belangenorganisatie Open State Foundation, die zich inzet voor transparantie en publieke informatie via open data. De organisatie heeft een online dashboard gelanceerd over het gebruik van het https-protocol bij overheden. De situatie is verbeterd ten opzichte van 2015, toen maakte ruim 80 procent van de websites van de overheid geen gebruik van een versleutelde verbinding.
De organisatie onderzocht de websites van rijksoverheden, gemeenten, provincies en gemeenschappelijke regelingen. Het concludeert dat van de in totaal 1032 websites van ministeries slechts 470 websites een https-verbinding hebben. ‘Daarvan zijn 66 websites niet goed geconfigureerd waardoor de verbinding alsnog onveilig is. Ook is er een aantal websites van Nederlandse ambassades in landen waar basale mensenrechten worden geschonden, waaronder Afghanistan, China, Egypte en Saoedi Arabië die niet beveiligd zijn met een goed functionerende https-verbinding.’
Volgens de meting van gemeentewebsites heeft 55 procent een correct geconfigureerde https-verbinding en van de twaalf provincies hebben vijf provincies een correct ingevoerde https-verbinding. De websites van de provincies Friesland, Limburg, Drenthe, Groningen en Zuid-Holland hebben helemaal geen https-verbinding.
Recherche-formulier geen https.
In een overzicht met domeinen van overheidswebsites die geen gebruik maken van https wordt onder andere rijksrecherche.nl genoemd, daar zou een onbeveiligd formulier op staan waarmee burgers misstanden kunnen melden. Ook de website van UWV, dat zorgt voor de landelijke uitvoering van de werknemersverzekeringen en arbeidsmarkt- en gegevensdienstverlening, maakt volgens Open State geen gebruik van https.
Een voorbeeld van een domein waar het https-protocol niet goed is geconfigureerd is kiesbeter.nl, op die site van het Ministerie van Volksgezondheid kunnen burgers zoeken naar informatie over medische aandoeningen.
Bits of Freedom
Van de 348 websites van gemeenschappelijke regelingen hebben slechts 75 domeinen een https-verbinding maar daarvan is een derde niet veilig geïnstalleerd.
‘Het afdwingen van HTTPS is een belangrijke norm voor websites van overheden’, zegt Arjan El Fassed, directeur van Open State Foundation. ‘Met Pulse hebben we een eenvoudige dashboard gebouwd die laat zien welke overheden internetveiligheid echt serieus nemen.’
‘De overheid onderstreept regelmatig het belang van een veilige en betrouwbare digitale infrastructuur. Het is dan ook onbegrijpelijk dat onze overheid dit niet beter doet’, zegt Rejo Zenger, beleidsadviseur bij burgerrechtenbeweging Bits of Freedom. ‘Het is een hele simpele ingreep waarmee de overheid het goede voorbeeld kan geven en de ontwikkeling en toepassing van versleuteling kan ondersteunen.’
HTTPS aanbevolen
Bij het gebruik van het https-protocol worden gegevens versleuteld, waardoor communicatie met een webserver niet is in te zien of te manipuleren. Open State Foundation schrijft: ‘Op websites zonder https-verbinding lopen bezoekers onnodige risico’s waardoor het voor een buitenstaander mogelijk kan zijn te weten welke gegevens worden verstuurd. Het configureren van https luistert nauw. Tot nu toe wordt voor overheidswebsites https aanbevolen en is het onderliggende protocol tls verplicht.’
Gebruik HTTPS explosief gestegen
In augustus 2016 meldde Computable nog dat het gebruik van het https-protocol een grote vlucht heeft genomen. Vergelijkingssite voor internetaanbieders internetvergelijk.nl meldde toen dat het aantal websites op basis van het protocol in een jaar tijd ruim is verdubbeld. ‘In de laatste twaalf maanden zijn net zoveel websites https gaan gebruiken als in de twintig jaar daarvoor.’