Ruim 80 procent van de websites van de overheid maakt geen gebruik van een versleutelde verbinding. Dit blijkt uit onderzoek van Open State Foundation onder ruim tweeduizend overheidswebsites. Nationaal Cyber Security Centrum adviseert om een https-protocol te gebruiken voor het afhandelen van aanvragen tussen een browser en server. Slechts 413 van de 2093 websites van de overheid maakt gebruik van deze versleutelde verbinding.
Nationaal Cyber Security Centrum adviseert om een https-protocol te gebruiken voor het afhandelen van aanvragen tussen een browser en server. Slechts 19 procent van de ruim tweeduizend websites van de overheid gebruikt het https-protocol voor het afhandelen van aanvragen tussen een browser en server.
Het https-protocol versleutelt de verstuurde data. Bij slechts 5 procent van alle websites van de overheid wordt het webverkeer altijd versleuteld. In totaal maken 119 websites van de overheid gebruik van hsts, een techniek om browsers op te dragen een website voortaan alleen via https te bezoeken. Dit blijkt uit onderzoek van Open State Foundation, waarbij 3889 overheidsdomeinen werden onderzocht. Zonder de domeinen met doorverwijzingen blijven er nog 2093 websites van de overheid over.
Open State Foundation kan geen logische reden ontdekken waarom een domein wel of niet via https verloopt. Zo maken de Algemene Inlichtingen en Veiligheidsdienst (aivd.nl), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl) en het Nationaal Cyber Security Centrum (ncsc.nl) wel gebruik van het https-protocol, terwijl bij andere websites zoals de Belastingdienst (belastingdienst.nl), de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (ctivd.nl) en Agentschap Telecom (agentschaptelecom.nl) niet al het webverkeer wordt versleuteld.
HTTPS
Https staat voor HyperText Transfer Protocol Secure en is net als http een protocol voor het afhandelen van aanvragen tussen een browser en server. De combinatie van een ssl-certificaat en het https-protocol versleutelt de verstuurde informatie en ontsleutelt deze bij aankomst.
Computable weigert ook al jaren HTTPS te gebruiken, zelfs niet voor het inloggen. On-be-grijpelijk. Zeker als je beseft hoe goed het te realiseren valt. Toch kiest Computable er blijkbaar voor om mensen zoals ik hun gebruikersnaam en wachtwoord gewoon plain-text over het internet te versturen. Het is wachten op een incident zodat het ineens nieuws word en er dan ineens wel actie mogelijk blijkt te zijn…
Als ik Computable was zou ik nu wel een keer actie ondernemen want voor dit gedrag bestaat geen excuus.
Ik heb hier al een aantal keer op aangedrongen, maar aangezien dat geen effect heeft gehad, dan nu nog maar een keer publiekelijk.
Computable: Regel HTTPS!
‘Bij de loodgieter thuis lekt de kraan !’
De computable redactie bestaat uit journalisten (of hoe dat dan ook heet) dat hoeven niet direct ICT specialisten te zijn.
Immers het zijn ook niet autocoureurs die voor een autoblad schrijven.
OnTopic, ben ik het wel met Henri eens. van een overheid die met het boze vingertje zwaait als het om ICT veiligheid gaat mag je verwachten dat de meest basale veiligheiden toch in acht genomen worden.
Henri heeft gelijk, dus Computable, even aanmelden bij Namecheap en een Comodo-certificate inkopen voor hele € 8,51 per jaar.
https://www.namecheap.com/security/ssl-certificates/comodo.aspx
Dat voldoet voor versleuteling.
Hoe het geinstalleerd moet worden mag toch geen probleem zijn voor een ICT-vakblad.
Voor publieke websites is HTTPS ook helemaal niet altijd nodig. SSL geeft per definitie een performance hit en overhead tov. niet-SSL. Voor inloggen en ingelogde omgevingen is uiteraard wel SSL gewenst omdat daar gegevens over de lijn gaan die specifiek voor de ingelogde gebruiker is.
Varnish Cache Tool ondersteund nog geen SSL. Daarom zal er waarschijnlijk voor gekozen zijn om geen SSL te activeren, voor de website Computable.nl.
Wel is het meer dan logisch om op het inloggen, wel SSL te activeren.