Helft van de overheidswebsites maakt geen gebruik van HTTPS

encryptie

Het aantal overheidswebsites dat gebruikt maakt van HTTPS is in het afgelopen kwartaal met 18% gestegen. Desondanks maakt de helft van alle overheidswebsites nog geen gebruik van HTTPS.

Dit blijkt uit cijfers van Open State Foundation’s Pulse, een dashboard die het mogelijk maakt te controleren of een overheidswebsite gebruik maakt van HTTPS en hoe sterk de implementatie hiervan is. HTTPS is een uitbreiding op het HTTP-protocol waarbij het dataverkeer tussen een webserver en de gebruiker wordt versleuteld. Indien dataverkeer wordt onderschept door een aanvaller, kan dit verkeer hierdoor niet worden ingezien. Daarnaast controleert HTTPS de identiteit van een webserver, om zeker te stellen dat content die wordt opgevraagd inderdaad afkomstig is van de juiste webserver. Dit voorkomt dat gebruikers worden omgeleid naar een malafide website. Tot slot controleert HTTPS de integriteit van aangeboden informatie, wat manipulatie van content voorkomt.

Onnodige risico’s op 52% van overheidssites

In totaal zijn 1.843 domeinen onderzocht. Hiervan ondersteunt 52% HTTPS. In december lag dit percentage nog op 44% van 1.816 onderzochte domeinen. Van de 961 overheidssites met een HTTPS-verbinding, zijn 90 domeinen niet goed geconfigureerd. Gebruikers lopen hierdoor bij 53% van alle overheidssites onnodig risico’s. Onder andere de websites van de gemeenten gemeenten Delft, Sluis, Oegstgeest, Purmerend, Rijswijk, Schouwen-Duiveland en Vlaardingen zijn voorzien van een HTTPS-verbinding die verkeerd is geconfigureerd. In december 2016 waren 108 van de 796 onderzochte overheidssites met HTTPS onjuist geconfigureerd.

Vooral waterschappen, provincies en gemeenten hebben vaker een HTTPS-verbinding omarmd. Het aantal HTTPS-verbindingen bij websites van waterschappen is gestegen van van 40,9% in december tot 76,1% in maart, bij provincies van 7 naar 10 provincies en bij gemeenten van 59% tot 72%. Het percentage websites van ministeries met een HTTPS-verbinding steeg van 54,9% tot 60,9%.

HSTS ontbreekt bij ambassades

Open State Foundation merkt op dat de websites van een aantal Nederlandse ambassades inmiddels is voorzien van HTTPS, maar het gebruik hiervan niet wordt afgedwongen. Dit komt doordat HTTP Strict Transport Security (HSTS) staat uitgeschakeld. HSTS is een beveiligingsmechanismen dat voorkomt dat een downgrade aanval kan worden uitgevoerd op een HTTPS-verbinding, waarbij het gebruik van een HTTP-verbinding door een aanvaller wordt afgedwongen.

“Het afdwingen van HTTPS is een belangrijke norm voor websites van overheden”, zegt Arjan El Fassed, directeur van Open State Foundation die digitale transparantie nastreeft. “Met Pulse laten we zien dat met een eenvoudige dashboard op basis van open data overheden aangespoord kunnen worden om internetveiligheid serieus te nemen.”

Belastingdienst

Daarnaast wijst de Open State Foundation erop dat de Belastingdienst inmiddels al zijn internetpagina’s heeft voorzien van HTTPS, inclusief alle pagina’s die onderdeel zijn van belastingdienst.nl, toeslagen.nl, douane.nl en fiod.nl. De website van de Belastingdienst/Caribisch Nederland is vooralsnog echter niet voorzien van HTTPS.

Lees ook
Zijn apparatuur en software nog wel te vertrouwen?

Zijn apparatuur en software nog wel te vertrouwen?

Mensen worden via hun identiteitsbewijs, DigiD, gebruikersnaam en wachtwoord gecontroleerd en vertrouwd. Maar hoe zit het eigenlijk met het steeds grotere aantal apparaten? Naarmate meer apparaten met het Internet of Things (IoT) worden verbonden en software (onder andere via DevOps) een grotere rol in ieders leven gaat spelen, wordt digitaal vertrouwen...

Eurofiber lanceert de nieuwste encryptietechniek

Eurofiber lanceert de nieuwste encryptietechniek

Eurofiber biedt zijn klanten WDM Encrypted aan. Deze encryptietechniek zorgt ervoor dat data tijdens het transport over glasvezel niet afgetapt kan worden. De bekendmaking vond plaats op de InfoSecurity beurs in Utrecht. De Cybersecuritymonitor 2018 van het CBS laat zien dat grote organisaties bovengemiddeld vaak getroffen worden door cyberaanvallen,...

15,5% van de .nl-websites is voorzien van SSL-certificaat

15,5% van de .nl-websites is voorzien van SSL-certificaat

15,5% van de unieke websites op het topleveldomein .nl is voorzien van een SSL-certificaat. In totaal gaat het om 500.000 Nederlandse websites. Dit blijkt uit cijfers van Stichting Internet Domeinregistratie Nederland (SIDN). Het topleveldomein .nl telt in totaal 3,6 miljoen unieke websites. In 757.000 van de gevallen gaat het om een zakelijke website...