NIEUWS

Geen veilig versleuteld webverkeer mogelijk met meeste websites van de overheid


Slechts 19% van de ruim tweeduizend websites van de overheid gebruikt het HTTPS protocol voor het afhandelen van aanvragen tussen een browser en server. Met het HTTPS protocol wordt data die wordt verstuurd versleuteld tegen partijen die mee willen lezen of het verkeer willen manipuleren.

httphttpsUit onderzoek van Open State Foundation blijkt dat slechts 1 op de 5 overheids websites een versleutelde verbinding kan gebruiken en dat bij slechts 5 procent van alle websites van de overheid het webverkeer altijd wordt versleuteld.

Open State Foundation controleerde deze week in totaal 3.889 overheidsdomeinen. Uitgezonderd 1.103 doorverwijzingen (redirects) en een groot aantal domeinnamen die niet wordt gebruikt, zijn er 2.093 websites van de overheid. Hiervan kunnen 413 websites een versleutelde HTTPS verbinding gebruiken en bij slechts 120 (5%) websites van de overheid wordt HTTPS geforceerd en het webverkeer van en naar de website altijd versleuteld. Slechts 119 websites van de overheid gebruiken HSTS, een techniek om browsers op te dragen een website voortaan alleen via HTTPS te bezoeken.

Het belang van HTTPS
HTTPS staat voor HyperText Transfer Protocol Secure en is net als HTTP een protocol voor het afhandelen van aanvragen tussen een browser en server. Met behulp van een SSL-certificaat en het HTTPS protocol zijn browsers en servers in staat informatie die verstuurd moet worden te versleutelen en bij aankomst weer te ontsleutelen.

Uit het onderzoek van Open State Foundation is geen logische reden te ontdekken waarom het ene domein wel en het andere domein niet via HTTPS verloopt. Zo maken de websites van de Algemene Inlichtingen en Veiligheidsdienst (aivd.nl), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl) en het Nationaal Cyber Security Centrum (ncsc.nl) wel altijd gebruik van het HTTPS protocol, maar doen de websites van de Belastingdienst (belastingdienst.nl), de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (ctivd.nl) en Agentschap Telecom (agentschaptelecom.nl) dat niet voor al het webverkeer naar deze websites.

Op websites van de overheid vindt veel uitwisseling van gegevens plaats maar HTTPS beschermt niet alleen informatie die naar de overheid wordt gezonden maar beschermt ook de vertrouwelijkheid wat mensen lezen. Van websites van de overheid verwachten burgers dat ze veilig en betrouwbaar zijn en dat privacy wordt beschermd. Het lage aantal websites van de overheid die het HTTPS protocol gebruikt is opmerkelijk, omdat juist het Nationaal Cyber Security Centrum adviseert om alle websites die gevoelige gegevens verwerken te beschermen met HTTPS.

Unconference over een veilig, open en vrij internet
Op vrijdag 17 april 2015 organiseert Open State Foundation samen met het ministerie van Buitenlandse Zaken een unconference, GCCS-Unplugged waar de uitdaging voor een open, vrij en veilig internet op een innovatieve manier wordt aangepakt.

Data
Download het volledige overzicht van alle 3889 overheidsdomeinen en de HTTPS-test (zip-bestand / csv 196 KB) hier.