In de komende maanden wordt een nieuwe meting toegevoegd aan basisbeveiliging: cookies.
Dit gebeurt in twee fases. De eerste staat gepland op halverwege oktober en de tweede staat op eind november. In dit overzicht staat wat er wordt gemeten en wat er gaat gebeuren.
Fase 1: voorpagina, geen toestemming
Fase 1 gaat over cookies op de voorpagina van de website. Er is bij dit bezoek geen toestemming gegeven voor het plaatsen van cookies. Dat betekent dat alleen analytische en functionele cookies mogen worden geplaatst.
In deze fase ontstaat een initieel zicht op gebruik van cookies: uit welke producten ze komen zijn en waar ze voor nodig zijn. Zo weten we straks het totaal aantal cookies is, van welke partijen ze komen en voor een aantal of het verder gaat dan functioneel en/of analytisch.
We verwachten in de week van 2 oktober al een eerste set conclusies te kunnen delen, maar de publicatie van metingen per organisatie volgt iets later. Een vooraankondiging gebeurt namelijk minimaal een maand voor publicatie. Dit geeft iedereen de ruimte om nog eventuele aanpassingen door te voeren.
Fase 2: hele site met en zonder toestemming
In deze fase wordt de site bezocht tot drie niveaus diep en worden alle mogelijke cookies verzameld over verschillende pagina’s. Er wordt expliciet toestemming gegeven voor het plaatsen van alle soorten cookies.
Hierdoor ontstaat een beeld van welke diensten van derde partijen worden gebruikt op de verschillende websites. Ook wordt het duidelijk of er verschil zit tussen het wel en geen toestemming geven.
Omdat deze meting wat intenser is dan de gebruikelijke metingen van basisbeveiliging zijn er twee belangrijke kenmerken:
De meting wordt minder vaak uitgevoerd. Eens in de zoveel weken.
De bezoeker van de site is duidelijk herkenbaar als basisbeveiliging met een link naar de achtergronden van de meting. Hierdoor kunnen eventuele uitzonderingen worden gemaakt in firewalls. De meting vindt plaats vanaf de gebruikelijke adressen.
Cookie Consent Speed Run: probeer zo snel mogelijk om alle trucs heen te werken die proberen jouw toestemming te krijgen. Je mag geen fouten maken. Ons record: 2 minuten.
Cookie Clicker: een ander spelletje in het thema, maar wat helemaal niets met deze meting te maken heeft.
We krijgen regelmatig de vraag waarom basisbeveiliging Google Analytics negatief beoordeelt bij haar privacymeting. Er wordt dan verklaard dat Analytics is ingericht volgens de handleiding van de Autoriteit Persoonsgegevens.
De Autoriteit geeft bij tweakers aan geen specifiek advies te geven welke tools voldoen. Dat is sinds 11 augustus 2023 waar, omdat de bewuste handleiding (archief) en de per ongeluk impliciete goedkeuring/promotie toen van hun site is gehaald.
De reden dat wij Google Analytics en dergelijke diensten afkeuren is eenvoudig: Google heeft een tweede belang bij het verzamelen van informatie over bezoekers: verkopen. Dat is niet in het belang van de bezoeker of de organisatie die het product toepast. We zien dat de overheid in 23% van de gevallen Analytics verkeerd inricht.
In dit artikel laten we zien waarom diensten als Google Analytics een probleem zijn, waarom dit probleem ontstaat en blijft bestaan en welke mogelijke oplossingen er zijn voor dit probleem.
Inzicht geven in surfgedrag
Het bijhouden van bezoekersstatistieken en wat bezoekers op een site doen is handig. De eigenaar kan zo zien welke informatie populair is en of de site voldoende wordt bezocht. Er zijn honderden bedrijven die hiervoor diensten aanbieden.
Ieder bedrijf zit anders in elkaar. Sommige verlenen slechts één dienst: inzicht geven in bezoekers en hun gedrag. Andere bedrijven leveren meer producten en diensten om de begroting rond te krijgen. Soms zijn deze activiteiten met elkaar verweven, zoals advertenties en bezoekersstatistieken. Specifiek in het laatste scenario is Google de grootste naam.
Google is groot geworden door de combinatie van uitmuntende technologie met gerichte advertenties. Ze verkopen dus beiden, waardoor ze hun technologie goedkoop of zelfs gratis kunnen aanbieden. Google Analytics (GA) is de tool waarmee bezoekersstatistieken worden verzameld. De verzamelde gegevens worden dus ook gebruikt voor gerichte advertenties op deze bezoekers. Die advertenties zijn vaak pas zichtbaar op een andere website.
Analytics wordt gebruikt door ontelbaar veel organisaties. Het kost snel miljarden om een platform als dit te bouwen, terwijl het goedkoop of zelfs gratis is om te gebruiken. Dit wordt betaald met gerichte advertenties. Sceptici zeggen daarom dat de dienst wordt “betaald met privacy”. Wanneer een overheid kiest om zoiets te gebruiken, betalen hun inwoners dit met hun privacy.
Google zegt zelf met versie 4 te voldoen aan alle eisen. Ze zeggen daarna in hetzelfde artikel waarom dit een wassen neus is. Dat gaan we zo uitleggen.
Omvang van Analytics
Diverse Europese landen verbieden het gebruik van Google Analytics (voor de overheid). Dit zijn Denemarken, Italië, Frankrijk, Noorwegen en Oostenrijk. De reikwijdte van dit verbod wisselt per land, maar het is in ieder geval een signaal om het niet te gebruiken.
Een dergelijk verbod zal ondernemers niet tegenhouden om alsnog een bedrijf te beginnen met ongeveer hetzelfde businessmodel. De focus ligt bij Google omdat dit de grootste speler is. Daarom is Analytics een naam voor het onderliggende probleem: verzamelde gegevens voor iets anders inzetten dan uitsluitend het verlenen van de dienst voor de klant. Dit geldt natuurlijk ook voor andere diensten van Google als YouTube en Google Maps.
Wij meten dat Analytics 1774 keer wordt ingezet bij de overheid. 1038 keer bij de centrale overheid, 676 bij gemeenten en 60 keer bij provincies. Het is de grootste in deze markt voor de overheid. Als we alle diensten van advertentiebedrijven meten, dan zien we bijvoorbeeld dat 70% van de gemeenten (242) zoiets toepast. Wij monitoren daarbij vooral Amerikaanse bedrijven omdat Europese bedrijven nog niet op de bekende volg-mij-niet-lijsten staan.
De dans met de regels
De advertentiemarkt is een miljardenindustrie. Het is van onschatbare waarde, vaak ook bedrijfsgeheim, op welke manieren bezoekers worden gevolgd en hoe gegevens worden gecombineerd.
Bedrijven zoals Google houden zich op een subversieve manier aan de wet: de wet wordt perfect en strikt gevolgd en dus wordt de grens altijd opgezocht. Een belangrijk doel van advertentiebedrijven is dat het onderliggende probleem nooit helder wordt of wordt opgelost. Daarvoor worden verschillende strategieën gebruikt. Drie hiervan zijn:
Werken naar halve regelgeving, certificeringen en audits: regulatory capture
Focus op haakjes om gegevens aan op te hangen: zoals een IP adres
Ieder van deze methodes leggen we hieronder uit. Hierdoor zie je dat deze allemaal geen oplossing zijn.
Wij zeggen hier dus niet dat Google ergens misbruik van maakt of ze iets doet dat niet mag. Juist het tegenovergestelde: men houdt zich dus perfect aan de wet.
Strategie 1: Keuzes
Het aanbieden van keuzes is een gouden greep. Het verlegt de verantwoordelijkheid naar de kiezer en kiezen gaat gegarandeerd fout. Iedere keer dat dit fout gaat wordt er geld verdient.
Het maken van keuzes bij Analytics gaat zowel fout bij de aanbieder (de overheid) als bij de gebruiker (de burger):
Bij de aanbieder, de overheid, meten we dat er 419 keer verbinding wordt gelegd met een doubleclick domein van Google Ads, zonder dat er toestemming is gegeven. In 23% van de gevallen is Analytics dus verkeerd ingericht. Blijkbaar is dit te lastig voor professionele organisaties met hoogopgeleide ICT-medewerkers.
De gebruiker, de burger, krijgt dagelijks vele malen de keuze of ze gevolgd wil worden. De vraag is dan “wil je alle functies op deze website gebruiken?”. Toestemming geven is vaak makkelijker dan weigeren. Hier treed moeheid en conditionering op, waardoor men toch op “OK” klikt. De vraag om toestemming is vaak doorspekt met slimmigheden waardoor men eigenlijk geen kans heeft om te weigeren.
Die keuze voorleggen aan de burger is geregeld in de Telecommunicatiewet. De wet richt zich op alle mogelijke technische vormen van volgen. Omdat de meestgebruikte techniek een cookie is, wordt dit onderdeel van de wet vaak de cookiewet genoemd. Dit is dus onvolledig.
Strategie 2: regulatory capture
Het opstellen van regels, certificering en audits is een andere gouden greep. Hierbij snijdt het mes aan twee kanten. Linksom: voor nieuwe organisaties wordt het lastiger om toe te treden tot de markt. Rechtsom: je hebt zelf al de markt en de inkomsten, hierdoor kan je aan de nieuwe regels voldoen ongeacht hoe complex deze zijn.
Het beste is dus om regels te stimuleren waar alleen jouw organisatie aan kan voldoen. Bijvoorbeeld het verbieden van het volgen van gebruikers via een specifieke methode om profielen aan op te hangen (zgn “haakje”) zoals het IP adres. Dat is prima voor Google, omdat ze hiervoor andere haakjes kan aanwenden door schaalgrootte en bereik. Een voorbeeld hiervan staat in methode 3.
Het ontstaan en stimuleren van regulatory capture gebeurt bijna vanzelf. Feit is namelijk dat regelgevers vaak achter de feiten aanlopen: ze moeten leren omgaan met een altijd veranderende realiteit. Dat levert een spanningsveld, want je wil de maatschappij niet lamleggen of tegenhouden. Het opstellen van nieuwe regels, deze goed verwoorden en het probleem begrijpen is een vreselijk lastig en langdurig proces. Hier liggen bijvoorbeeld kansen voor denktanks en lobbyisten om de focus te verleggen naar iets wat logisch lijkt, maar het niet is.
Dit artikel gaat verder na de afbeelding met methode 3.
242 gemeenten gebruiken een dienst van een (Amerikaans) tracking bedrijf. 101 doen dat niet.
Strategie 3: Verbod op een specifiek haakje
Op de privacy-pagina van versie 4 van Google Analytics, staat letterlijk: “IP-address data is used solely for geo-location data derivation before being immediately discarded“.
In plaats van een persoon gaat het nu over een locatie: een adres, gezin, straat, wijk et cetera. Inderdaad niet herleidbaar tot één specifiek persoon: dus geen persoonsgegeven. Dat iets niet herleid tot een persoon wil dus niet zeggen dat deze informatie onschadelijk of betekenisloos is.
Google weet van alle IP adressen ter wereld namelijk de fysieke locatie. Dat komt omdat iedereen dit aan hen verteld. Bijvoorbeeld door het maken van een route in Google Maps of Waze, het zoeken naar informatie over de wijk, het bekijken van je huis op Streetview, het bezoeken van websites in de buurt zoals die van een hobbyclub, sportclub of gemeente (Analytics staat overal). Er is geen partij ter wereld die zo goed een locatie aan een IP adres kan koppelen als Google.
Zelfs als je je best doet om jezelf te beschermen hoeven je buren dat niet te doen. En omdat het IP adres van de buren bijna dezelfde is als die van jou heeft dat impact op je. Een schoolvoorbeeld is dat in armere wijken duurdere goederen verkocht kunnen worden omdat dit een status geeft. Iedereen helpt dus onbewust elkaars profiel op te stellen.
Een regelgever zou het gebruik van fysieke adressen kunnen verbieden, maar dan is er weer een ander haakje om gegevens aan te koppelen. Het is onmogelijk om dit probleem op een technische manier te stoppen, de belangen zijn simpelweg te groot.
Qua handhaving is er ook enorm veel ruimte, maar handhavers krijgen natuurlijk te weinig capaciteit, mandaat en kennis omdat de ernst van het probleem niet breed genoeg wordt onderschreven.
Oplossen van het echte probleem
Een verbod op een specifiek bedrijf of specifieke technologie lost niets op. Daarvoor zijn de belangen te groot. Maar er is wel hoop. Zo op het eerste gezicht zien we drie oplossingen, maar er zijn er vast meer.
A: Betere wetgeving?
Het echte probleem zit in de hoek van doelbinding: dat gegevens op geen enkele andere manier mogen worden ingezet dan het doel. Dus ook niet worden afgeleid, gecombineerd, verkocht en dergelijke.
Waarschijnlijk is dit juridisch ongelofelijk lastig op te schrijven. De cookiewet was hiervoor een eerste poging, maar biedt onvoldoende bescherming. Het leverde een van de subversieve oplossingen: keuzes.
De overheid kan natuurlijk wel voor zichzelf eisen opstellen en e.e.a. verbieden. Dat heeft natuurlijk weinig invloed op het grote geheel, maar het is een goed begin.
Een wettelijke oplossing is in ieder geval niet morgen geregeld, hoewel die behoefte en noodzaak er wel is.
B: Alternatieve bedrijven met betere waarden?
Privacy kan worden vereist bij de toepassing en aankoop van producten en diensten in allerlei markten. Maar ook dat is erg lastig: juist organisaties met een tweede doel zullen vaak aan de eisen voldoen omdat de eisen niet doordacht zijn vastgelegd.
Het is belangrijk om het onderliggende probleem te begrijpen: het beschermen van zoveel mogelijk mensen. Dit kan onder andere door te eisen dat gegevens maximaal voor 1 doel mogen worden ingezet en alle andere gronden te weigeren.
Gelukkig zijn er al tientallen bedrijven die dit al garanderen. Denk bijvoorbeeld aan Piwik Pro, Monsido en dergelijke. Deze bedrijven zijn helaas niet altijd transparant over hun prijzen. Matomo is dat wel. Hier wordt per bezochte pagina betaald. Voor 1 miljoen hits, een behoorlijk populaire site, is dat 160 euro per maand.
Zou Google haar Analytics tak afsplitsen naar een bedrijf met maar één enkel belang, dan is er geen bezwaar om het te blijven gebruiken. Dan moeten ze er wel (meer) geld voor moeten gaan vragen. Wedden dat niemand de daadwerkelijke prijs hiervoor wil betalen?
Wat ook helpt is de wetenschap dat 95% van de verzamelde gegevens in tools als Analytics niet relevant zijn voor dagelijkse sturing. Het verzamelen hiervan is dus overbodig werk.
C: Zelf maar iets draaien?
Zelf een tool draaien is een optie. Tweakers.net heeft onlangs een overzicht gepubliceerd van vier verschillende tools die Analytics kunnen vervangen.
De haken en ogen aan deze aanpak zitten niet in de technologie maar in de organisatie. Wanneer een organisatie zelf iets draait zitten hier verantwoordelijkheden aan. Zo moet er een server worden geregeld, deze moet worden ingericht en onderhouden, de software moet ingericht worden zodat het aan de wet voldoet en moet ook nog regelmatig (en soms acuut) worden bijgewerkt. Ook dan moet er nog steeds betaald worden aan dit soort projecten: anders worden kwetsbaarheden niet opgelost of is draait het op een verouderd (kwetsbaar) systeem. De medewerkers die dit uitvoeren krijgen natuurlijk salaris. Alles bij elkaar gaat het snel over een behoorlijk bedrag.
Zelf iets draaien is dus niet altijd even economisch of duurzaam. Alle haken en ogen kosten al snel meer dan iets afnemen bij een van de vele dienstverleners. Dat is namelijk de business case.
Wat keurt basisbeveiliging?
Basisbeveiliging keurt sinds april 2023 privacy op twee dingen: of een site op zichzelf staat en, wanneer dat niet zo is, of er verkeer wordt gestuurd naar bekende advertentiebedrijven.
De lijst met advertentiebedrijven komt van het Amerikaanse bedrijf Disconnect.Me. Zij verkopen diensten waarmee privacy vergroot kan worden. Hun lijst met bedrijven is openbaar, zodat iedereen dit kan inzien, aanpassen en gebruiken.
Het zal je niet verbazen dat op deze lijst voornamelijk Amerikaanse bedrijven staan. Ook neemt dit diensten mee waarbij Google zegt géén privacygevoelige informatie te verzamelen zoals bij het aanbieden van lettertypen (maar wel alle andere mogelijke data natuurlijk).
Op de techreuzen na opereren de organisaties op de lijst niet in Nederland. In de EU en Nederland zijn er wel bedrijven actief die op die lijst horen. Denk bijvoorbeeld aan Shoppingminds uit Hilversum. Op hun voorpagina pronken ze met de slogan: “Sell it Better”. Er is één overheid die dit gebruikt, maar mogelijk is dit contractueel goed geregeld.
In de toekomst gaat basisbeveiliging dus ook Europese / Nederlandse bedrijven die meerdere belangen hebben bij het vergaren van gebruikersdata afkeuren.
Tot slot
Gebruik dus geen diensten van bedrijven die bezoekersgegevens voor andere doelen inzetten dan de door jouw de gevraagde dienst. En doe dit natuurlijk zelf ook niet.
We zijn meer kennis rondom de stichting aan het uitschrijven: wat doen we, hoe doen we dat en wat betekent dit. De eerste stukken hiervan staan nu online:
De uitzonderingen op het meetbeleid zijn nu opgesomd en centraal publiek inzichtelijk. Dit wordt gebaseerd op de stroom aan comply or explain berichten die we wekelijks krijgen.
Een disclaimer rondom de inhoud van de site en expliciet de metingen.
Privacy-scan aangezet op alle subdomeinen en completere resultaten
Alle subdomeinen worden nu meegenomen in de privacy scan. Dat betekent dat er behoorlijk veel meetpunten zijn bijgekomen.
Daarnaast is de meting voorzien van extra informatie over welke aanvragen er worden gedaan naar externen. Voorheen waren alleen de links te zien, nu kan je zien waar de aanvraag vandaan komt: afbeeldingen, scripts, fetch, xhr, fonts etcetera. Je ziet ook wat wordt meegestuurd. Soms wordt er namelijk alleen een extra (POST) verzoek gedaan om zo te kunnen tracken zonder cookies.
Nieuwe uitgebreide meetgegevens in de privacymeting
Goedgekeurde versie-informatie
Het SSH protocol vereist dat er staat welke versie wordt gebruikt, zodat er bepaald kan worden welke features worden ondersteund. Dat is ergens te begrijpen. Omdat het onderdeel van het protocol is, moeten we het nu goedkeuren. Echter is er ook ruimte om “comments” mee te geven in de identificatie. Alle gevallen met comments keuren we niet goed, omdat dit geen onderdeel is van de negotiation en dus volledig optioneel is. Je kan deze comments uitzetten.
Dat de versie wordt goedgekeurd zegt niets over of de versie veilig is. Zo op het eerste gezicht vinden we het vanuit een security-standpunt onverklaarbaar waarom er informatie over de host gedeeld moet worden voor negotiation, maar daar is vast goed over nagedacht.
De SIDN api gaf ook antwoord op domeinen buiten het bereik. Als je daar zoekt naar apple.com krijg je de resultaten van apple.nl. Deze fout is rechtgezet aan onze kant: er wordt alleen nog op .nl domeinen WHOIS informatie opgevraagd.
Security.txt metingen hebben nu meetgegevens
Het is nu in te zien waarom security.txt metingen falen. Dat omdat de meting recentelijk is gewijzigd: het bestand moet op een nieuwe regel eindigen anders is het ongeldig.
Details over security.txt
Op de site
Filtering in rapporten
Het is nu mogelijk om op bevinding te filteren in rapporten. Dit is nog een redelijk basaal filter wat niet alle domeinen zonder resultaten weghaalt. Dat komt in een volgende versie. Het helpt in ieder geval om snel de juiste metingen te vinden omdat de rest onzichtbaar wordt.
Comply or explain bug opgelost
Sommige verklaringen werden nog niet meegenomen in de statistieken en rapporten. Daardoor week de kleur van de kaart en de statistieken af van de inhoud van het rapport. Deze lopen, na een paar dagen lang puzzelen, helemaal gelijk. Hiermee is een lang uitstaande bug opgelost (en zijn er vast weer twee nieuwe bijgekomen, want zo werkt dat met software).
Overig
Bij het importeren van organisaties worden nu arbitraire velden ondersteund. Dit is handig om op een later moment te kunnen filteren.
Er is meer logging toegevoegd aan de ‘ontbrekende tls’ meting. Deze geeft af en toe false positives en daar willen we vanaf. Dit is een traag proces en we verwachten dat het heel even duurt voordat alles weg is.
Het toevoegen en verwijderen van endpoints wordt nu gelogd en omgezet naar grafieken, hierdoor kunnen we grote verschuivingen detecteren en bepalen of er iets mis is met de internetverbinding of de meting.
HSTS meting bevatte een bug waardoor de meting qua bewijsvoering ‘klapperde’.
IT dienstverlening van de overheid hoort binnen Europa (en liefst Nederland) te gebeuren. Hiervoor hebben we een meting toegevoegd die later deze maand openbaar wordt. We zijn het beleid aan het opstellen en aan het experimenteren met hoe we dit gaan weergeven. Zie voor meer hierover de blogpost.
Uitzonderingen op basis van inhoud van de website
We kunnen vanaf nu uitzonderingen maken op basis van de inhoud van een website. Dit passen we nu toe voor Cloudflare, die als grote leverancier standaard een aantal onnodige poorten openzet.
We vragen gebruikers van Cloudflare dit issue met hen op te nemen, zodat ze kunnen voldoen aan diverse IT standaarden die vereisen dat alleen noodzakelijke poorten openstaan. Dit is door diverse mensen onder de aandacht gebracht de afgelopen maand.
Inhoud van diverse pagina’s. Dit wordt doorzocht bij security policies.
Risicoopsommingstabel is opgedeeld
De tabel met risico’s is nu opgedeeld in categorien. Hierdoor kan je in 1x alle e-mail metingen zien zonder alle extra waardes / lege regels enzo. Dat leest net iets makkelijker. Het eerste tabblad bevat het oude vertrouwde (grote) overzicht.
Herschreven privacyscanner
De privacyscanner is herschreven. Dit heeft een factor 1000 snellere scans opgeleverd die ook nog eens betrouwbaarder en vollediger zijn.
Bedankt / “wordt aan gewerkt” knop
Metingen zijn nu voorzien van een “bedankt”/”wordt opgelost” knop. Hiermee kan je makkelijk waardering sturen naar de stichting, zo weten we een beetje wie de site gebruikt en hoe het wordt ontvangen. De eerste stapel bedankjes zitten al in de mailbox, waarvoor ook bedankt!
Update websiteregister rijksoverheid
De nieuwe namen van overheidsorganisaties van het Websiteregister Rijksoverheid zijn toegevoegd. Ook is een 10 tal nieuwe organisaties toegevoegd.
Voortgang bevat ook de kaart van vandaag
Hier zie je de voortgang van Security.txt, met daarop de voortgang van de adoptie. De kaart wordt langzaam groener, of toch niet…
Dagelijkse mails worden weer verstuurd, naast de gebruikelijke instant alert mails. Alert E-Mails bevatten nu ook de meetdata als JSON attachment. Dit is direct aan een SIEM te koppelen, of anders automatisch te verwerken.
Er worden geen meldingen meer gemaakt van metingen waar een verklaring op zit. Omdat automatische verklaringen soms later worden toegevoegd kan het zijn dat er weleens wat overbodigs wordt meegestuurd.
Overig
De herscan knop is gefixt, herscans worden weer ingepland.
Er zijn weer een aantal updates doorgevoerd aan basisbeveiliging.
Nieuw
Nieuwe metingen over privacy gaan de 17e live april live.
Voortgang pagina. Hierop kan je de resultaten van een bepaalde meting over verschillende maanden zien. Standaard zijn dat 6 maanden, maar je kan jaren terug. Je kan dit nu het meeste voortgang zien rondom de security.txt meting. Hier een link naar de voortgang van provincies.
Handreiking Comply or Explain. Vanwege de vele Comply or Explain mails is er een pagina toegevoegd met een handreiking over welke verklaringen wel en niet worden geaccepteerd. Deze staat hier.
Ondersteuning voor alternatieve namen. We hebben bijnamen, oude namen, Nederlandse namen van Friese gemeenten en carnavalsnamen toegevoegd van gemeenten die een gelijknamig stad of dorp hebben. Ook kan je nu zoeken naar “mooie stad achter de duinen” voor Den Haag, “Torenstad” voor Zutphen, “Moerasdraak” voor Den Bosch.
Wijzigingen
Logins in het login plaza zijn nu voorzien van een versienummer en een link naar de publiek bekende kwetsbaarheden (zgn CVE’s).
Producten in login plaza zijn nu voorzien van informatie over de maker, wat het kan etc. Dit is aangevuld door ChatGPT 3.5, dus kan wat foutjes bevatten. We herkennen meer dan 250 producten van vele leveranciers.
Fixes
G1 overheidscertificaten worden nu correct automatisch verklaard. Meer hierover in het blogpost.
De nieuwe manier waarop microsoft alleen http aanbiedt op autodiscover domeinen wordt nu meegenomen.