Onderzoek: Geen veilig versleuteld webverkeer mogelijk met meeste websites van archieforganisaties

  • apr 2015
  • Bob Coret
  • ·
  • Aangepast 27 jun
  • 7
  • 64
Bob Coret
KIA Community
  • Christian van der Ven
  • Verwijderde gebruiker

Uit onderzoek van Open State Foundation blijkt dat slechts 1 op de 5 overheids websites een versleutelde verbinding kan gebruiken en dat bij slechts 5 procent van alle websites van de overheid het webverkeer altijd wordt versleuteld.

Het onderzoek is uitgevoerd op websites van de rijksoverheid met een open source test programma, dit roept dus om dezelfde test op een andere ‘sector’ toe te passen: de archiefsector.

De ArchiefWiki is altijd een dankbare bron van informatie over archieforganisaties, die niet alleen overheidsarchieven benoemt maar ook bedrijfs- en kerkarchieven. Belangrijke kanttekening hierbij is dat een deel van de websites onderdeel uitmaakt van een groter geheel zoals een gemeentelijke website en het dus niet gaat om de website van alleen de archieforganisatie. De lijst telt 249 domeinnamen, van deze domeinen is bekeken of er HTTPS mogelijk is (=goed) en of het geforceerd wordt (=nog beter).

De samenvatting van de resultaten (in de stijl van het Open State Foundation onderzoek):

Slechts 22 procent van de 249 websites van archieforganisaties gebruikt het HTTPS protocol voor het afhandelen van aanvragen tussen een browser en server. Met het HTTPS protocol wordt data die wordt verstuurd versleuteld tegen partijen die mee willen lezen of het verkeer willen manipuleren. Onderzoek van Bob Coret toont aan dat ondanks de aanbeveling van het Nationaal Cyber Security Centrum om webverkeer te versleutelen, slechts 54 van de 249 websites van archieforganisaties zo'n versleutelde verbinding kunnen gebruiken. Bij slechts 10 procent van alle websites van archieforganisaties wordt al het webverkeer versleuteld doordat HTTPS bij deze websites wordt geforceerd.

Analyse van de resultaatlijst leert dat in de categorieën "Forceert HTTPS" en "Biedt HTTPS" vooral veel domeinen tussen zitten van gemeenten, het aandeel dat “pure” archiefwebsites heeft is klein te noemen hetgeen eerder onderzoek bevestigd.

Geen van de onderzochte websites gebruikt HSTS, een techniek om browsers op te dragen een website voortaan alleen via HTTPS te bezoeken.

Forceert HTTPS

euronext.com gemeentewinkel.bedum.nl gemeentewinkel.demarne.nl historischcentrumleeuwarden.nl loket.echt-susteren.nl www.documentencoevorden.nl www.ede.nl www.erfgoedleiden.nl www.eyefilm.nl www.gemeentenoordenveld.nl www.heerenveen.nl www.hhdelfland.nl www.hhnk.nl www.historischcentrumoverijssel.nl www.leek.nl www.meerssen.nl www.middendrenthe.nl www.noorderzijlvest.nl www.openarch.nl www.provincie-utrecht.nl www.rkd.nl www.slochteren.nl www.stadskanaal.nl www.vlagtwedde.nl www.zaanstad.nl www.zeist.nl

Biedt HTTPS

stadsarchief.amsterdam.nl www.aaenhunze.nl www.abnamro.com www.almere.nl www.bhic.nl www.borger-odoorn.nl www.brabant.nl www.coevorden.nl www.delta.nl www.diemen.nl www.franekeradeel.nl www.gahetna.nl www.gemeentehulst.nl www.gemeentewesterveld.nl www.hoogeveen.nl www.horstaandemaas.nl www.hunzeenaas.nl www.ieper.be www.limburgsmuseum.nl www.nationaalarchief.nl www.putten.nl www.regionaalarchiefdordrecht.nl www.roermond.nl www.ru.nl www.scheldestromen.nl www.terneuzen.nl www.tresoar.nl www.voorst.nl

Biedt geen HTTPS

alledrenten.nl archief.erfgoedhuisweert.nl archief.hengelo.nl archief.schiedam.nl archief.venlo.nl balie.vlaardingen.nl burgerlijkestand.zederik.nl delft.digitalestamboom.nl digitaalerfgoed.almere.nl dnpp.ub.rug.nl gemeentearchief.wassenaar.nl gemeentearchiefvenray.nl historischgis.delft.nl maasgouw.x-cago.com stadsarchief.enschede.nl www.adckampen.nl www.advn.be www.agv.nl www.aletta.nu www.allefriezen.nl www.allegroningers.nl www.amsab.be www.archief-delft.nl www.archiefalkmaar.nl www.archiefalmelo.nl www.archiefeemland.nl www.archiefrkfriesland.nl www.archieftholen.nl www.archieven.nl www.archieveninzeeland.nl www.augustijnen.nl www.axel.nl www.barneveld.nl www.beeldbankgroningen.nl www.beeldbankleeuwarden.nl www.beeldengeluid.nl www.bellingwedde.nl www.bergen.nl www.bisdom-roermond.nl www.bisdombreda.nl www.bisdomdenbosch.nl www.bisdomhaarlem-amsterdam.nl www.bisdomrotterdam.nl www.boarnsterhim.nl www.borne.nl www.borsele.nl www.carmeliteinstitute.nl www.cartago.nl www.cbg.nl www.coda-apeldoorn.nl www.collectie-delft.nl www.delpher.nl www.den.nl www.denhaag.nl www.dewolden.nl www.digitalestamboom.nl www.dominicanen.nl www.drenlias.nl www.drentsarchief.nl www.dsm.com www.ecal.nu www.ehc.sittard-geleen.eu www.emmen.nl www.erfgoedcentrumdiep.nl www.erfgoeddenekamp.nl www.erfgoedkloosterleven.nl www.ey.nl www.fotoarchiefdienst.nl www.franciscanen.nl www.friesarchiefnet.nl www.friesfilmarchief.nl www.geldersarchief.nl www.gemeente-oldambt.nl www.gemeentearchief.denhaag.nl www.gemeentearchief.rotterdam.nl www.gemeentearchief.veenendaal.nl www.gemeentearchiefgemert-bakel.nl www.gemeentearchiefgoes.nl www.gemeentearchiefkampen.nl www.gemeentearchiefroosendaal.nl www.gemeentearchiefvenray.nl www.gemeentearchiefvlissingen.nl www.gemeentesluis.nl www.gemeentesudwestfryslan.nl www.genealogieonline.nl www.gennep.nl www.geschiedenisvanvlaardingen.nl www.geschiedeniszeeland.nl www.gooienvechthistorisch.nl www.groenehartarchieven.nl www.groesbeek.nl www.groningerarchiefnet.nl www.groningerarchieven.nl www.grootegast.nl www.handelingenbank.info www.hardenberg.nl www.haren.nl www.hdc.vu.nl www.hetutrechtsarchief.nl www.hhsk.nl www.hicnof.nl www.historischarchiefwestland.nl www.hoogezand-sappemeer.nl www.ibnfacilitair.nl www.ihlia.nl www.iisg.nl www.iwiweb.nl www.jezuieten.org www.kapelle.nl www.kapucijnen.com www.katwijk.nl www.kerkrade.nl www.landgraaf.nl www.leerdam.nl www.leidschendam-voorburg.nl www.letterkundigmuseum.nl www.liemersverleden.nl www.markiezenhof.nl www.marum.nl www.menterwolde.nl www.meppel.nl www.nederweert.nl www.nieuwlanderfgoed.nl www.nijkerk.eu www.nijmegen.nl www.niod.nl www.noord-hollandsarchief.nl www.noordbeveland.nl www.nrac.nl www.oegstgeest.nl www.onderbanken.nl www.oud-beijerland.nl www.peelenmaas.eu www.pekela.nl www.redemptoristen.nl www.reestenwieden.nl www.regionaalarchiefalkmaar.nl www.regionaalarchiefgorinchem.nl www.regionaalarchiefrivierenland.nl www.regionaalarchieftilburg.nl www.regionaalarchiefwestbrabant.nl www.regionaalarchiefzutphen.nl www.reimerswaal.nl www.rhc-eindhoven.nl www.rhcl.nl www.rhcrijnstreek.nl www.rhcvechtenvenen.nl www.rhczuidoostutrecht.nl www.rijckheyt.nl www.rijnland.net www.roerdalen.nl www.roeselare.be www.sabinfo.nl www.salha.nl www.samh.nl www.schouwen-duiveland.nl www.shclimburg.nl www.spaarnestadphoto.nl www.stadsarchief.breda.nl www.stadsarchief.nl www.stadsarchief.rotterdam.nl www.stadsarchiefbreda.nl www.stadsarchiefdeventer.nl www.stadsarchiefoss.nl www.stamboomnederland.nl www.streekarchiefbommelerwaard.nl www.streekarchiefepe.nl www.streekarchiefgo.nl www.streekarchiefrijnlandsmidden.nl www.streekarchiefvpr.nl www.streekarchivariaat.nl www.tenboer.nl www.texel.nl www.twentsstreekarchief.org www.twickel.nl www.tynaarlo.nl www.vaals.nl www.valkenburg.nl www.vdgh.nl www.veendam.nl www.virtueeldelftslexicon.nl www.vlaardingen.nl www.wageningen.nl www.walkatearchief.nl www.wassenaar.nl www.waterlandsarchief.nl www.westfriesarchief.nl www.wetterskipfryslan.nl www.winsum.nl www.wrij.nl www.zederik.nl www.zeeuwengezocht.nl www.zeeuwsarchief.nl www.zoetermeer.nl www.zuidhorn.nl

Reacties

7 reacties, meest recent: 2 juni 2015
  • Interessant Bob!

    Ter aanvulling over het belang versleuteld webverkeer (van http://openstate.pr.co/99689-onderzoek-geen-veilig-versleuteld-webverkeer-mogelijk-met-meeste-websites-van-de-overheid):

    "HTTPS staat voor HyperText Transfer Protocol Secure en is net als HTTP een protocol voor het afhandelen van aanvragen tussen een browser en server. Met behulp van een SSL-certificaat en het HTTPS protocol zijn browsers en servers in staat informatie die verstuurd moet worden te versleutelen en bij aankomst weer te ontsleutelen.

    [...]

    Op websites van de overheid vindt veel uitwisseling van gegevens plaats maar HTTPS beschermt niet alleen informatie die naar de overheid wordt gezonden maar beschermt ook de vertrouwelijkheid wat mensen lezen. Van websites van de overheid verwachten burgers dat ze veilig en betrouwbaar zijn en dat privacy wordt beschermd. Het lage aantal websites van de overheid die het HTTPS protocol gebruikt is opmerkelijk, omdat juist het Nationaal Cyber Security Centrum adviseert om alle websites die gevoelige gegevens verwerken te beschermen met HTTPS."

    Verwijderde gebruiker
  • Kan me herinneren dat we als BHIC https op een aantal plekken moesten onderdrukken, aangezien er bijvoorbeeld gebruik werd gemaakt van widgets of formulieren die anders de mist in gingen. (Maar we staan toch nog netjes in het tweede lijstje, zie ik.)

    Christian van der Ven
  • Christian,

    Als een HTTPS-website inhoud (zoals bijv. plaatjes of iframe) weergeeft van een HTTP-website dan zie je vaak een foutmelding. Javascript van een HTTP-website wordt als beveiligingsmaatregel op een HTTPS-website niet uitgevoerd.

    Als je widgets (dus externe javascript) op je website hebt zul je eerst moeten achterhalen of deze ook via HTTPS beschikbaar is. Als deze beschikbaar is de HTTPS versie gebruiken (hetgeen zowiezo wijs is, ook op een HTTP-website). Als de widget niet via HTTPS beschikbaar is kun je natuurlijk ook besluiten om de widget als 'onveilig' te beschouwen en niet te gebruiken. Het is maar hoe principieel je op dit punt wilt zijn.

    Op Genealogie Online toon ik via een frame websites van archiefinstellingen (voor de Scans zoeken service), dit zijn veelal HTTP-websites. Specifiek voor deze "frame pagina's" heb ik een uitzonderingsregel gedefinieerd op de webserver, de rest van de  pagina's kan dan standaard (geforceerd) via HTTPS lopen. Maar door deze uitzondering kan ik geen HSTS gebruiken, dit is namelijk een oproep van de webserver aan de webbrowser om altijd alleen maar HTTPS te gebruiken.

    Bob Coret
  • Bob, 

    dit klinkt heel verontrustend, maar wat is het risico van een niet HTTPS verbinding voor de bezoekers/gebruikers van een website? Heeft dat met het verzenden van formulieren te maken?

    Kun je daar wat meer over vertellen?

    Groet,

    Luud

    Verwijderde gebruiker
  • Luud,

    HTTPS is de beveiligde tegenhanger van HTTP, het protocol dat gebruikt wordt om internetpagina’s op te vragen. HTTPS maakt gebruik van TLS/SSL en dat is weer een encryptie protocol om internet verkeer te versleutelen. HTTPS zorgt voor beveiliging door:

    1. versleuteling van de data die tussen de browser en de server wordt uitgewisseld (vertrouwelijkheid en authenticiteit), en,

    2. controle of de website waarmee je verbinding hebt wel de website is waarmee je verbinding denkt te hebben (vertrouwen)

    Afluisteren van netwerkverkeer is kinderspel. Door de versleuteling tussen browser en server kan niemand anders de inhoud bekijken (=vertrouwelijkheid). Versleuteld verkeer kun je wel afluisteren maar niet (tot zeer moeilijk) ontcijferen. Door de encryptie heb je daarnaast ook nog de zekerheid dat de inhoud niet is aangepast!

    Stel, ik ben bij in winkelcentrum Pieter Vreedeplein in Tilburg waar ik dankbaar gebruik maak van de gratis Wifi (*1). Ik surf naar http://www.stamboomnederland.nl/ en ik ga inloggen. Omdat deze website geen HTTPS biedt kan een ieder op hetzelfde netwerk (Wifi/kantoor/enz.) nu mijn e-mail adres en bijbehorende wachtwoord (*2) afluisteren (en misbruiken). Maar, het kan ook zijn, dat iemand een nep (niet van echt te onderscheiden) website heeft opgezet die (door het DNS aan te passen) wordt geserveerd in plaats van de echte website. Degene die de nepwebsite heeft opgezet krijgt zodoende mijn e-mail en wachtwoord.

    Wanneer StamboomNederland de website beveiligd middels HTTPS kan ik door controle van het SSL certificaat (het "slotje") controleren of het inderdaad de website van het Centraal Bureau Genealogie is. Als een tussenliggend netwerk component me een nepwebsite probeert voor te schotelen dan zal de browser waarschuwen dat het certificaat niet klopt. Alle communicatie die ik met de website heb kan niet worden afgeluisterd, niet door "wachtwoordgraaiers" en ook niet door inlichtingendiensten. De communicatie kan ook niet worden aangepast, niet de gegevens die een bezoeker aanlevert en niet de gegevens die een website biedt.

    Vanuit het oogpunt van de aanbieders (hier de archieforganisaties) is er enerzijds een wettelijke verplichting om het verzenden van persoonsgegevens (en dat zijn contact/inloggevens ook al) te beveiligen. Anderzijds is het een belangrijke service die je biedt: gebruikers weten zeker dat ze op de website van de archieforganisatie (of overkoepelend orgaan) zijn en dat informatie niet wordt afgeluisterd of aangepast door derden.

    De risico's bij patiënt en financiële gegevens zijn hoger dan openbare informatie bij archieven, en ook in landen waar je niet alles mag zien of zeggen is het risico hoger dan in Nederland, maar een archiefinstelling levert toch graag een veilige omgeving èn authentiek materiaal?

    Nog een klein voordeel voor de aanbieders: Google vind beveiliging belangrijk en gaat het als ranking factor gebruiken bij het indexeren van webpagina's.

    (*1) gebruik van openbare Wifi is niet veilig, gebruik daarom een VPN verbinding naar een vertrouwd punt, de VPN zorgt dan voor versleuteling (vertrouwelijkheid en authenticiteit) tussen client en VPN server. (*2) gebruik nooit hetzelfde wachtwoord voor verschillende diensten, als het wachtwoord bij één dienst is onderschept of op straat ligt kunnen hackers ermee niet op andere diensten inloggen.

    Bob Coret
  • Bob,

    Dank voor je uitvoerige toelichting. Dat van die "(gratis) openbare wifi", dat wist ik al. 

    Wat nieuw voor me is: door https te gebruiken geef je een signaal af aan je klanten dat ze een goede website te pakken hebben die hen niet tot nadeel kan zijn. Dat vind ik wel een heel steekhoudend argument. Het verzenden van privacygevoelige informatie is bij onze website minder relevant. Als we weer formulieren gaan gebruiken, dan komt dat aspect ook nog om de hoek kijken.

    Nogmaals dank!

    Verwijderde gebruiker

Trefwoorden