Content
Forum Standaardisatie onderzoekt ieder half jaar het gebruik van verplichte standaarden voor de beveiliging van websites en e-mail bij overheidsorganisaties. De adoptiegraad van de meeste informatieveiligheidstandaarden is tussen september vorig jaar en april dit jaar wederom gegroeid. De uitzonderingen hierop zijn HSTS (web) en DNSSEC MX (e-mail). Steeds meer overheden maken weer gebruik van toekomstvaste TLS-configuraties.
Toekomstvaste TLS-configuraties
In de laatste meting van vorig jaar zagen we nog een forse daling in het gebruik van TLS conform de aanbevolen configuratie volgens het NCSC, bij zowel web als e-mail. Dit werd veroorzaakt door strengere vereisten. Inmiddels zien we dat overheden hun TLS-configuraties verbeteren. De toepassing van HTTPS (veilige websiteverbindingen) conform de NCSC-aanbevelingen is gegroeid van 78% naar 83%. De toepassing van STARTTLS (veilige e-mailverbindingen) conform de NCSC-aanbevelingen is gegroeid van 42% naar 69%.
Een veilige TLS-configuratie is belangrijk voor het beveiligen van verbindingen op internet. Vraag uw leverancier om TLS 1.3 te ondersteunen als onderdeel van een toekomstvaste TLS-configuratie.
Afdwingen van een beveiligde websiteverbinding
Naast het toekomstvast configureren van TLS is het ook belangrijk om websites en webapplicaties de TLS-verbinding af te laten dwingen. Dit kan onder meer door het toepassen van HSTS. De terugval van 9% in de adoptiegraad (83%) van een goede HSTS-configuratie (voor het afdwingen van een beveiligde websiteverbinding) komt door een aanpassing in de minimum vereiste cache-geldigheidsduur, deze is in de Internet.nl test verhoogd van 6 maanden naar 1 jaar. Dit is in overeenstemming met de gangbare good practices.
In de ICT-Beveiligingsrichtlijnen voor Webapplicaties (Beveiligingsrichtlijn U/WA.05) leest u hoe HTTPS correct kan worden toegepast voor websites en webapplicaties.
Domeinnaambeveiliging
Een domeinnaamhouder kan met DNSSEC een digitale handtekening toevoegen aan DNS-gegevens. Aan de hand van deze handtekening kan een internetgebruiker (onderwater en volledig automatisch m.b.v. speciale software) de inhoud en de ontvangen DNS-gegevens valideren. Hierdoor is vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden. 98% van de overheden uit deze meting hebben hun eigen domein beveiligd met DNSSEC.
E-mailsystemen van overheden kunnen echter bereikbaar zijn via externe domeinnamen, ook die moeten beveiligd zijn met DNSSEC om te voorkomen dat kwaadwillenden e-mails kunnen onderscheppen, afluisteren of manipuleren. De lichte terugval van 2% in de adoptiegraad (64%) van DNSSEC MX (domeinnaambeveiliging voor mailservers) komt door toenemend gebruik van cloudmaildiensten van voornamelijk Amerikaanse (moeder)bedrijven. In de Verenigde Staten is DNSSEC minder gemeengoed dan in Nederland. Dit heeft een remmend effect op de adoptie van zowel DNSSEC MX als DANE (voor het afdwingen van een beveiligde e-mailverbinding), hoewel de DANE-adoptie nog wel gegroeid is van 53% naar 55%.
In Nederland wordt voor rond de 60% van het Nederlandse internetverkeer DNSSEC validatie uitgevoerd door internet service providers. Maakt jouw browser gebruik van een validerende DNS-resolver, dan zal de browser een DNS-antwoord waarmee gerommeld is niet verwerken. Hiermee is een eindgebruiker beschermd tegen manipulatie van DNS-antwoorden.
Via de verbindingstest van Internet.nl kan je controleren of jouw DNS-resolver DNSSEC validatie doet.
Leestip
Lees ook hoe de Rijksdienst voor Ondernemend Nederland (RVO) werkt aan een beter beheersysteem voor websites en zo standaarden consequenter kan toepassen.