HTTPS en HSTS

Inhoudsopgave

    Status

    Lijst status
    • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
    • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
    • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
    • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
    Verplicht (pas toe leg uit)
    Functioneel toepassingsgebied

    Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

    HTTPS en HSTS moeten worden toegepast op de communicatie tussen clients (zoals webbrowsers) en servers voor alle websites en webservices.

    Organisatorisch werkingsgebied

    Benoemt de organisaties waarvoor de verplichting geldt.

    Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.

    Aanvullende verplichtingen

    Soms legt het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) voor een standaard verplichtingen op die verder gaan dan de verplichtingen beschreven in de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.

    Voor HTTPS en HSTS heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten.

    Europese status

    ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.

    Ja

    Nut en werking

    Typering
    Beveiligde websiteverbinding
    Nut

    HTTPS en HSTS zorgen samen voor beveiligde verbindingen met websites, met als doel de veilige uitwisseling van gegevens tussen een webserver en client (vaak een webbrowser). Dit maakt het voor cybercriminelen moeilijker om verkeer om te leiden naar valse websites en om de inhoud van webverkeer te onderscheppen.

    Bezoekers van een website kunnen een beveiligde verbinding met een website herkennen aan HTTPS in de URL (HTTPS://). De website-identiteitsknop (het hangslot) wordt in de adresbalk weergegeven zodra een bezoeker een beveiligde website bezoekt.

    Werking

    HTTPS zorgt voor het gebruik van HTTP over een met TLS beveiligde verbinding. Dit betekent dat het webverkeer door middel een certificaat wordt versleuteld.

    HSTS zorgt ervoor dat een webbrowser, na het eerste contact over HTTPS, bij vervolgbezoek de website altijd direct over HTTPS opvraagt.

    Domein
    Relatie met andere standaarden
    Relatie met andere standaarden
    Relatie met andere standaarden
    Relatie met andere standaarden
    Trefwoorden

    Detailinformatie

    Volledige naam

    HyperText Transfer Protocol Secure (HTTPS) en HTTP Strict Transport Security (HSTS)

    Versie
    1.2
    Specificatiedocument
    Beheerorganisatie
    IETF

    Toepassing

    Community

    Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.

    Het Platform Internetstandaarden bevordert het gebruik van Internet veiligheidsstandaarden in Nederland.

    Hulpmiddelen

    Vrij beschikbare hulpmiddelen en software die de adoptie van de standaard ondersteunen. Dit kunnen zijn: referentie-implementaties, open source libraries, test tools, e.d.

    Conformiteitstest

    Toetsingsinformatie

    Toelichting bij opname

    TLS 1.2 staat sinds 2014 op de 'Pas toe of leg uit lijst' van het Forum Standaardisatie. Hiermee gold de 'Pas toe of leg uit' verplichting impliciet al voor HTTPS. 

    Het Nationaal Beraad Digitale Overheid heeft besloten om HTTPS op de  'Pas toe of leg uit lijst' te plaatsen om de verplichting van TLS voor websites expliciet te maken, en om de verplichting van HTTPS te koppelen aan HSTS zodat versleutelde verbindingen ook afgedwongen worden.

    Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde standaardsyntaxis

    Adoptieadviezen

    De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.

    Bij de opname op de ‘Pas toe of leg uit’-lijst heeft het Forum Standaardisatie de volgende oproepen gedaan:

    1. Aan NCSC om de ontwikkelingen rondom HTTPS en HSTS te volgen en de genoemde ICT-beveiligingsrichtlijnen te actualiseren wanneer hier aanleiding toe is. Daarnaast wordt het NCSC opgeroepen om de ICT-beveiligingsrichtlijnen ook in het Engels beschikbaar te maken.
    2. Aan de minister van Binnenlandse Zaken en Koninkrijksrelaties om, na inwerkingtreding van de wet GDI, niet alleen HTTPS maar ook HSTS en de veilige configuratie conform NCSC in onderzoek te nemen voor verplichting via een algemene maatregel van bestuur (AMvB).
    3. Aan overheden de aanbevelingen uit de NCSC-factsheet ‘Veilig beheer van digitale certificaten’ (2012) te volgen. Onderdeel van deze factsheet is ook de aanschaf van een extra set ‘back up’-certificaten. Hierdoor kan de impact van een hack bij of faillissement van een CA, zoals bij DigiNotar, worden beperkt.
    4. Aan Platform Internetstandaarden om meer toelichting en achtergrondinformatie te geven bij de test op Internet.nl. Hiervoor kan met onder andere VNG/IBD samengewerkt worden. Zij krijgt regelmatig vragen van gemeenten over de testresultaten.
    5. Aan het Forum Standaardisatie om de voortgang van de adoptie van HTTPS en HSTS inclusief de veilige configuratie conform NCSC te monitoren en hierover aan het Nationaal Beraad te rapporteren.
    6. Overheden met websites met digitale dienstverlening, bijvoorbeeld door middel van DigiD, dienen te overwegen om hun domein op een pre-loading lijst te plaatsen om te voorkomen dat de landingspagina via HTTP benaderd kan worden.

    De opgeroepen partijen worden gevraagd om één jaar na opname van de standaard over de voortgang op deze punten te rapporteren aan het Forum Standaardisatie.

    Uitstekend beheer
    • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
    • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.
    Nee
    Definitief

    Agp-4b-Hamerstuk-Standaardisatie-OBDO-24-mei-2018_8

    PDF Document | 158.03 KB
    12 maart 2020 (12:25)
    Expertadvies

    Expertadvies-HTTPS-en-HSTS

    PDF Document | 722.43 KB
    12 maart 2020 (12:25)
    Forumadvies

    FS170419.2A-Forumadvies-HTTPS-en-HSTS

    PDF Document | 420.11 KB
    12 maart 2020 (12:25)
    Forumadvies

    FS171011.3E-Forumadvies-toepassingsgebieden-IV-standaarden_2

    PDF Document | 291.89 KB
    12 maart 2020 (12:25)
    Advies

    Nationaal-Beraad-Advies-HTTPS-en-HSTS

    PDF Document | 977.97 KB
    12 maart 2020 (12:25)
    Consultatie

    Reacties-openbare-consultatie-HTTPS-en-HSTS

    PDF Document | 399.04 KB
    12 maart 2020 (12:25)
    Datum van aanmelding

    Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.

    27-10-2016

    Datum van besluit

    Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.

    09-05-2017