Hoewel het aantal overheidswebsites met een HTTPS-verbinding het afgelopen kwartaal is gestegen met 18%, gebruikt nog steeds de helft van alle overheidswebsites geen HTTPS. Dat blijkt uit een nieuwe meting van Open State Foundation’s Pulse.
Van de 1.843 onderzochte domeinen ondersteunt nu 52% een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. In december was dat 44% op een totaal van 1.816 domeinen. Van de 961 overheidssites met een HTTPS-verbinding op dit moment, zijn 90 domeinen niet correct geconfigureerd. Hierdoor lopen bezoekers alsnog onnodig risico’s bij 53% van alle overheidssites. Zo hebben de websites van de gemeenten Delft, Sluis, Oegstgeest, Purmerend, Rijswijk, Schouwen-Duiveland en Vlaardingen weliswaar een HTTPS-verbinding maar blijkt dit niet goed geconfigureerd. In december vorig jaar waren van de 796 overheidssites met een HTTPS-verbinding 108 websites niet correct geconfigureerd.
HTTPS
Open State Foundation lanceerde eind vorig jaar de online dashboard Pulse (pulse.openstate.eu) waarmee gebruikers kunnen zien of een overheidswebsite een veilige HTTPS-verbinding ondersteunt en hoe sterk de implementatie daarvan is.
HTTPS, is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens met een website of webservice. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Daarnaast controleert HTTPS op de integriteit van de informatie zodat aanpassing van de uitgewisselde gegevens niet mogelijk is en wordt door de controle van de identiteit van de webserver zeker gesteld dat de website de website daadwerkelijk de juiste website is en bezoekers van een website niet zijn omgeleid naar een andere website.
Forse verbetering bij waterschappen en provincies
De stijging van het aantal overheidswebsites met een HTTPS-verbinding is vooral te zien bij de websites van waterschappen (van 40,9% in december tot 76,1% in maart), provincies (van 7 naar 10 provincies) en bij gemeenten (van 59% naar 72%). Het percentage overheidswebsites met een HTTPS-verbinding van ministeries steeg van (54,9% naar 60,9%).
Ambassades
Wat opvalt is dat ondanks dat de websites van een aantal Nederlandse ambassades inmiddels een HTTPS-verbinding hebben, deze niet wordt afgedwongen en HSTS is uitgeschakeld. Dat is ondermeer het geval bij de websites van de ambassade van Afghanistan, China, Egypte en Soedan. De website van de Nederlandse ambassade in Saoedi-Arabië heeft geen veilige verbinding omdat de HTTPS de bezoekers terugbrengt naar een HTTP website.
In januari kondigde minister Plasterk van Binnenlandse Zaken dat hij het gebruik van HTTPS wettelijk verplicht wil stellen voor alle overheidssites. In antwoord op vragen uit de Tweede Kamer had hij eerder gezegd dat hij het beveiligingsniveau van overheidswebsites voldoende vond. Beveiligingsexperts zeggen echter dat het altijd beter is om HTTPS te gebruiken, ook als er geen persoonsgegevens worden verstuurd.
“Het afdwingen van HTTPS is een belangrijke norm voor websites van overheden”, zegt Arjan El Fassed, directeur van Open State Foundation die digitale transparantie nastreeft. “Met Pulse laten we zien dat met een eenvoudige dashboard op basis van open data overheden aangespoord kunnen worden om internetveiligheid serieus te nemen.”
De Belastingdienst dat naar aanleiding van Pulse zelf onderzoek heeft gedaan, heeft inmiddels al zijn internetpagina’s voorzien van de HTTPS-standaard. Het gaat daarbij om tienduizenden webpagina’s, alle publicatiestromen die onder de URL’s van de websites belastingdienst.nl, toeslagen.nl, douane.nl en fiod.nl worden aangeboden. Echter, met Pulse zien we dat de website van de Belastingdienst/Caribisch Nederland daarbij vergeten is.
Ook Forum voor Standaardisatie heeft onlangs een advies (PDF) uitgebracht naar aanleiding van Pulse en de toenemende roep om HTTPS te verplichten voor alle overheidssites. HTTPS en HSTS staan op de lijst met standaarden van het Forum voor Standaardisatie met als status ‘aanbevolen’ maar nu adviseert het Forum om de standaarden te verplaatsen van aanbevolen naar ‘verplicht’.