'Bijna 9 op de 10 Nederlandse websites onveilig´
Schijnveiligheid
Onderzoekers van LBVD troffen ook dit jaar veel onveilige verbindingen aan. Bezoekers van deze websites krijgen wel het groene slotje in hun browser te zien, wat zorgt voor schijnveiligheid. Slechts 13% van de Nederlandse websites met HTTPS biedt een veilige HTTPS-configuratie aan, namelijk TLS zonder RC4 ciphers (versleutelingen) en zonder SSLv3.
Mens lijkt de zwakste schakel
Uit het onderzoek blijkt dat de mens de zwakste schakel. Slechts bij 13% van de IP-adressen met HTTPS is dit goed geconfigureerd. “Wij zijn geschokt door dit resultaat: dit is veel minder dan wij hadden verwacht. Wij hopen dat systeembeheerders door April Awareness nog eens goed naar hun HTTPS-configuratie kijken en verbeteringen aanbrengen. Hiermee zorgen we er samen voor dat de verbindingen afdoende beveiligd zijn en websitebezoekers geen vals gevoel van veiligheid krijgen”, aldus een woordvoerder van LBVD.
LBVD is van mening dat al het webverkeer standaard via HTTPS moet verlopen. Maar in de praktijk blijkt HTTPS complex om goed in te richten. Wanneer één element niet, of niet goed wordt geïmplementeerd, kan de hele website risico lopen. TLS is op dit moment, met de juiste configuratie, de enige veilige manier om HTTPS aan te bieden.
Ruim 36 miljoen gescande IP-adressen
Tijdens April Awareness 2015 scande het adviesbureau alle IP-adressen in Nederland, in totaal 36.142.560. Hiervan hebben 1.123.457 IP-adressen een webserver en daarvan hebben er 427.717 HTTPS. Van alle IP-adressen die HTTPS aanbieden, ondersteunt maar liefst 68,6% het onveilige SSLv3. 35.3% van alle IP-adressen die HTTPS aanbieden ondersteunt TLS. TLS heeft op dit moment drie versies, waarvan de nieuwe relatief iets beter zijn.
Van alle IP-adressen die HTTPS met TLS aanbieden heeft 99.5% TLS1.0 , 43.6% TLS1.1 en 41.7% TLS1.2. IP-adressen kunnen meerdere versies ondersteunen. Van de IP-adressen die TLS ondersteunen, ondersteunt echter 77.8% RC4 ciphers en zijn hierdoor alsnog niet veilig. Er zijn 32.974 (8.3%) IP-adressen die via HTTPS veilig zouden zijn als ze SSLv3 uitzetten.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee