Correcte HTTPS instellingen

Wat is het?

Alle hostingproviders hebben een SSL-certificaat geinstalleerd op hun website, maar niet altijd zijn de HTTPS-instellingen correct of optimaal. We hebben dit getest:

  • Is de website bereikbaar via HTTPS?
    Dit gelukkig bij alle hostingproviders het geval.
  • Wordt automatisch doorverwezen van HTTP naar HTTPS? Met andere woorden: is het mogelijk om HTTPS te omzeilen en de website toch via een onbeveiligde HTTP-verbinding te bezoeken?
    Het komt regelmatig voor dat hostingproviders dit niet goed hebben ingesteld.
  • Ondersteunt de webserver HSTS?
    Het komt vaak voor dat dit niet het geval is.

Waarom is het belangrijk?

Het is belangrijk dat jij veilig gebruik kunt maken van de website van de hostingprovider. Bijna altijd is er ook een account van jou actief op de website, waarop je kunt inloggen. Je moet erop kunnen rekenen dat dit veilig kan en dat jouw persoonlijke gegevens goed beschermd zijn.

Hoe hebben we het getest?

We hebben dit getest op internet.nl. Na het invoeren van de domeinnaam van de hostingprovider wordt het resultaat getoond onder het kopje HTTPS > HTTP.

 

HTTP-compressie hebben we buiten beschouwing gelaten. HTTP-compressie veroorzaakt een veiligheidsrisico, want HTTP-compressie maakt de beveiligde verbinding met de webserver kwetsbaar voor de BREACH-aanval. Het wordt daarom aanbevolen om HTTP-compressie uit te schakelen. Het is echter wel mogeijk om HTTP-compressie wel in te schakelen, maar andere maatregelen te treffen tegen deze aanvallen. Vanwege deze mogelijkheid hebben we het aan of uit staan van HTTP-compressie buiten beschouwing gelaten.

Meer informatie

HTTPS

HTTPS (Hyper Text Transfer Protocol Secure) verschijnt in de URL wanneer een website is beveiligd met een SSL-certificaat. In combinatie met het slotje weet je nu zeker dat je gegevens versleuteld worden verzonden.

 

HSTS

HSTS is de afkorting voor HTTP Strict Transport Security.

HSTS forceert een browser om bij een terugkerend bezoek meteen een HTTPS-verbinding te gebruiken. Dit wordt onthouden zo lang als de geldigheidsduur die is opgegeven in de HSTS-instelling (max-age). Geadviseerd wordt om een max-age van minimaal zes maanden te gebruiken.

Het gebruik van HSTS voorkomt bepaalde man-in-the-middle aanvallen.

 

Man-in-the-middle aanvallen

Een man-in-the-middle aanval (MiTM aanval) is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Berichten kunnen daarbij ook gelezen en veranderd worden. En er kunnen berichten worden verzonden die niet door de andere partij zijn geschreven.

 

HSTS Preloading

Door ‘preload’ toe te voegen aan HSTS, kun je je domein indienen voor opname in een HSTS-lijst van de browser Chrome.

Deze sites zijn niet afhankelijk van de afgifte van de HSTS header om het beleid af te dwingen. In plaats daarvan is de browser zich er al van bewust dat SSL/TLS afgedwongen moet worden.

 

Links

FAQ HTTPS op internet.nl

HSTS preloading