Let op: per 1 juli 2023 zijn overheidsorganisaties wettelijk verplicht om HTTPS en HSTS te gebruiken voor beveiligen van publiek toegankelijke websites en webapplicaties. Kijk voor meer informatie op digitaleoverheid.nl.
HTTPS en HSTS
HTTPS is een protocol om webverkeer te versleutelen via een certificaat. Websitebezoekers herkennen zo’n verbinding aan ‘HTTPS://’ aan het begin van de link. Daarbovenop is er HSTS. Dat is een extra maatregel zodat er tijdens een bezoek niet (stiekem) teruggeschakeld kan worden naar een niet versleutelde HTTP-verbinding. Beide standaarden zijn basisbeveiliging tegen ongewenste omleidingen en het onderscheppen van webverkeer.
Inhoudsopgave
Content
Status
Lijst status
|
Verplicht (pas toe leg uit) |
Functioneel toepassingsgebied
Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus). |
HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices. |
---|---|
Organisatorisch werkingsgebied
Benoemt de organisaties waarvoor de verplichting geldt. |
Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Aanvullende verplichtingen
|
HTTPS en HSTS zijn per 1 juli 2023 wettelijke verplicht volgens het ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ (Wet digitale overheid). |
Europese status
‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie. |
Ja |
Nut en werking
Typering
|
Beveiligde websiteverbinding |
Nut
|
HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen. Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt. |
---|---|
Werking
|
HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld. HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt. |
Domein
|
|
Relatie met andere standaarden
|
|
Relatie met andere standaarden
|
|
Relatie met andere standaarden
|
|
Relatie met andere standaarden
|
|
Trefwoorden
|
Detailinformatie
Volledige naam
|
HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS) |
---|---|
Versie
|
1.2 |
Specificatiedocument
|
|
Beheerorganisatie
|
IETF |
Toepassing
Community
Organisaties waarbij men terecht kan voor adoptieondersteuning, best practices, use cases en/of nadere informatie over de standaard. |
Het Platform Internetstandaarden bevordert het gebruik van Internet veiligheidsstandaarden in Nederland. |
---|---|
Hulpmiddelen
Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d. |
|
Conformiteitstest
|
Toetsingsinformatie
Toelichting bij opname
|
TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de 'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden. Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis. |
---|---|
Adoptieadviezen
De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing van de standaard op de 'Pas toe of leg uit'-lijst of lijst aanbevolen standaarden. |
Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:
De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie. |
Uitstekend beheer
|
Nee |
Definitief |
Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018_8.pdf
PDF Document | 158.03 KB
|
Expertadvies |
Expertadvies-HTTPS-en-HSTS.pdf
PDF Document | 722.43 KB
|
Forumadvies |
FS170419.2A-Forumadvies-HTTPS-en-HSTS.pdf
PDF Document | 420.11 KB
|
Forumadvies |
FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_2.pdf
PDF Document | 291.89 KB
|
Advies |
Nationaal-Beraad-Advies-HTTPS-en-HSTS.pdf
PDF Document | 977.97 KB
|
Consultatie |
Reacties-openbare-consultatie-HTTPS-en-HSTS.pdf
PDF Document | 399.04 KB
|
Datum van aanmelding
Datum waarop een organisatie de standaard heeft aangemeld voor verplichten aan de overheid ('Pas toe of leg uit') of aanbevelen aan de overheid door plaatsing op een van de lijsten. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer zeven maanden. |
27-10-2016 |
Datum van besluit
Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) of een van zijn voorgangers heeft besloten de standaard op de lijst te plaatsen. |
09-05-2017 |
Overig
Waarvoor geldt de verplichting
|
Per 1 juli 2023 treedt ‘Besluit beveiligde verbinding met overheidswebsites en -webapplicaties’ in werking waarmee het gebruik van HTTPS en HSTS wettelijk verplicht is. HTTPS en HSTS zijn van toepassing op overheidsorganisaties om hun publiek toegankelijke websites en webapplicaties te beveiligen, niet alleen bij nieuwe aanbestedingen en doorontwikkeling maar ook op bestaande diensten. De streefbeeldafspraak en de 'pas toe of leg uit'-status van HTTPS en HSTS zijn daarmee per 1 juli 2023 verzwaard tot de wettelijke verplichting. Lees de veelgestelde vragen over verplichting HTTPS en HSTS voor overheidswebsites en -webapplicaties. |
---|