Beheer

Security

'Bijna 9 op de 10 Nederlandse websites onveilig´

29 april 2015
87% van de Nederlandse websites die een beveiligde (HTTPS) verbinding aanbiedt, is niet veilig. Door het lek kan het netwerkverkeer worden onderschept en is er verhoogd risico op onder meer diefstal en fraude.

Adviesbureau LBVD doet in april jaarlijks onderzoek naar hoe veilig de websites van Nederlandse organisaties zijn. Organisaties die deelnemen aan April Awareness kunnen het bewustzijnsniveau van hun directie en medewerkers verhogen en de techniek verbeteren. Dit jaar deden onder meer zorginstellingen, vervoersbedrijven, lokale overheden, provinciale overheden, zakelijke dienstverleners, ICT-dienstverleners, banken en verzekeraars mee.

Schijnveiligheid

Onderzoekers van LBVD troffen ook dit jaar veel onveilige verbindingen aan. Bezoekers van deze websites krijgen wel het groene slotje in hun browser te zien, wat zorgt voor schijnveiligheid. Slechts 13% van de Nederlandse websites met HTTPS biedt een veilige HTTPS-configuratie aan, namelijk TLS zonder RC4 ciphers (versleutelingen) en zonder SSLv3.

Mens lijkt de zwakste schakel

Uit het onderzoek blijkt dat de mens de zwakste schakel. Slechts bij 13% van de IP-adressen met HTTPS is dit goed geconfigureerd. “Wij zijn geschokt door dit resultaat: dit is veel minder dan wij hadden verwacht. Wij hopen dat systeembeheerders door April Awareness nog eens goed naar hun HTTPS-configuratie kijken en verbeteringen aanbrengen. Hiermee zorgen we er samen voor dat de verbindingen afdoende beveiligd zijn en websitebezoekers geen vals gevoel van veiligheid krijgen”, aldus een woordvoerder van LBVD.

LBVD is van mening dat al het webverkeer standaard via HTTPS moet verlopen. Maar in de praktijk blijkt HTTPS complex om goed in te richten. Wanneer één element niet, of niet goed wordt geïmplementeerd, kan de hele website risico lopen. TLS is op dit moment, met de juiste configuratie, de enige veilige manier om HTTPS aan te bieden.

Ruim 36 miljoen gescande IP-adressen

Tijdens April Awareness 2015 scande het adviesbureau alle IP-adressen in Nederland, in totaal 36.142.560. Hiervan hebben 1.123.457 IP-adressen een webserver en daarvan hebben er 427.717 HTTPS. Van alle IP-adressen die HTTPS aanbieden, ondersteunt maar liefst 68,6% het onveilige SSLv3. 35.3% van alle IP-adressen die HTTPS aanbieden ondersteunt TLS. TLS heeft op dit moment drie versies, waarvan de nieuwe relatief iets beter zijn.

Van alle IP-adressen die HTTPS met TLS aanbieden heeft 99.5% TLS1.0 , 43.6% TLS1.1 en 41.7% TLS1.2. IP-adressen kunnen meerdere versies ondersteunen. Van de IP-adressen die TLS ondersteunen, ondersteunt echter 77.8% RC4 ciphers en zijn hierdoor alsnog niet veilig. Er zijn 32.974 (8.3%) IP-adressen die via HTTPS veilig zouden zijn als ze SSLv3 uitzetten.


Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.