HTTPS en HSTS

Over de standaard

Beschrijving

Beveiligde webcommunicatie

Lijst status
Aanbevolen

Uitleg

Nut

HTTPS, is een uitbreiding op het HTTP-protocol met als doel een veilige uitwisseling van gegevens. Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Het zorgt dus voor beveiligde communicatie tussen een webclient zoals een webbrowser en een webserver aan de hand van TLS mogelijk. De HTTPS standaard legt vast hoe het HTTP protocol beveiligd kan worden en is een beveiligde verbinding over het internet mogelijk. .

Werking

De HTTPS-standaard (HTTP Strict Transport Security) legt vast hoe het HTTP-protocol beveiligd kan worden door gebruikmaking van TLS. Hierdoor is een beveiligde verbinding over het internet mogelijk. Dit is de meest gangbare praktijk om communicatie met websites te beveiligen.
Het advies is HTTPS altijd te gebruiken met HTTP Strict Transport Security (HSTS), om deze reden is ervoor gekozen om deze standaarden gezamenlijk  met HSTS op de lijst te plaatsen. HSTS zorgt ervoor dat de browser voor elke terugkerende bezoeker vereist dat de website opnieuw via HTTPS wordt aangeboden. Dit helpt man-in-the-middle-aanvallen te voorkomen.

Trefwoorden
Beveiliging
Internet
Website

Detailinformatie

Beheerorganisatie
IETF
Uitstekend beheer
Nee
Volledige naam
HyperText Transfer Protocol Secure
Version
RFC2818 en RFC6797

Implementatie

Hulpmiddelen

OWASP, Testing for SSL/TLS

Volg de relevante beveiligingsadviezen van het NCSC

Conformiteitstest
Toelichting

De HTTPS standaard legt vast hoe het HTTP protocol beveiligd kan worden aan de hand van TLS. Hierdoor is een beveiligde verbinding over het internet mogelijk.

Om de inzet van TLS binnen HTTPS nog meer te kunnen ondersteunen is de extra aanbeveling om de volgende veilige varianten van mail toegangsprotocollen op te nemen als toelichting bij TLS op de lijst met open standaarden (ieder versleuteld protocol zou opgenomen moeten worden als toelichting):
- Simple Mail Transfer Protocol Secure (SMTPS): zorgt voor authenticatie van de communicatiepartners en daarnaast voor data integriteit en vertrouwelijkheid.
- Internet Message Access Protocol over TLS (IMAPS): veilig synchroniseren van e-mail.
- Post Office Protocol 3 (SSL-POP3): veilig e-mailverkeer via de server.

Domein
Internet & Beveiliging

Toetsingsinformatie

Functioneel toepassingsgebied

Beveiligde uitwisseling van gegevens via het web

Toelichting bij opname

November 2016 is besloten om aan HTTPS ook HSTS toe te voegen op de lijst met standaarden. Daarnaast is de RFC van HTTPS van RFC 2817 gewijzigd naar RFC 2818.

Datum van besluit
15-11-2016