Vanaf December is op Basisbeveiliging te zien of STARTTLS wordt gebruikt bij het ontvangen van e-mail. Deze meting wordt uitgevoerd met behulp van de tools van internet.nl. Andere metingen zoals DMARC, DKIM en SPF worden al enkele jaren gepubliceerd op basisbeveiliging.nl
STARTTLS wordt gebruikt om e-mails te versleutelen. Dat betekent dat iemand die probeert de verzonden e-mail probeert te lezen deze niet kan ontsleutelen, omdat de sleutel hiervoor alleen aanwezig is bij de ontvangende mailserver.
Een andere naam voor STARTTLS is Opportunistic TLS. Meer hierover is te lezen op wikipedia.
We zijn meer kennis rondom de stichting aan het uitschrijven: wat doen we, hoe doen we dat en wat betekent dit. De eerste stukken hiervan staan nu online:
De uitzonderingen op het meetbeleid zijn nu opgesomd en centraal publiek inzichtelijk. Dit wordt gebaseerd op de stroom aan comply or explain berichten die we wekelijks krijgen.
Een disclaimer rondom de inhoud van de site en expliciet de metingen.
Privacy-scan aangezet op alle subdomeinen en completere resultaten
Alle subdomeinen worden nu meegenomen in de privacy scan. Dat betekent dat er behoorlijk veel meetpunten zijn bijgekomen.
Daarnaast is de meting voorzien van extra informatie over welke aanvragen er worden gedaan naar externen. Voorheen waren alleen de links te zien, nu kan je zien waar de aanvraag vandaan komt: afbeeldingen, scripts, fetch, xhr, fonts etcetera. Je ziet ook wat wordt meegestuurd. Soms wordt er namelijk alleen een extra (POST) verzoek gedaan om zo te kunnen tracken zonder cookies.
Nieuwe uitgebreide meetgegevens in de privacymeting
Goedgekeurde versie-informatie
Het SSH protocol vereist dat er staat welke versie wordt gebruikt, zodat er bepaald kan worden welke features worden ondersteund. Dat is ergens te begrijpen. Omdat het onderdeel van het protocol is, moeten we het nu goedkeuren. Echter is er ook ruimte om “comments” mee te geven in de identificatie. Alle gevallen met comments keuren we niet goed, omdat dit geen onderdeel is van de negotiation en dus volledig optioneel is. Je kan deze comments uitzetten.
Dat de versie wordt goedgekeurd zegt niets over of de versie veilig is. Zo op het eerste gezicht vinden we het vanuit een security-standpunt onverklaarbaar waarom er informatie over de host gedeeld moet worden voor negotiation, maar daar is vast goed over nagedacht.
De SIDN api gaf ook antwoord op domeinen buiten het bereik. Als je daar zoekt naar apple.com krijg je de resultaten van apple.nl. Deze fout is rechtgezet aan onze kant: er wordt alleen nog op .nl domeinen WHOIS informatie opgevraagd.
Security.txt metingen hebben nu meetgegevens
Het is nu in te zien waarom security.txt metingen falen. Dat omdat de meting recentelijk is gewijzigd: het bestand moet op een nieuwe regel eindigen anders is het ongeldig.
Details over security.txt
Op de site
Filtering in rapporten
Het is nu mogelijk om op bevinding te filteren in rapporten. Dit is nog een redelijk basaal filter wat niet alle domeinen zonder resultaten weghaalt. Dat komt in een volgende versie. Het helpt in ieder geval om snel de juiste metingen te vinden omdat de rest onzichtbaar wordt.
Comply or explain bug opgelost
Sommige verklaringen werden nog niet meegenomen in de statistieken en rapporten. Daardoor week de kleur van de kaart en de statistieken af van de inhoud van het rapport. Deze lopen, na een paar dagen lang puzzelen, helemaal gelijk. Hiermee is een lang uitstaande bug opgelost (en zijn er vast weer twee nieuwe bijgekomen, want zo werkt dat met software).
Overig
Bij het importeren van organisaties worden nu arbitraire velden ondersteund. Dit is handig om op een later moment te kunnen filteren.
Er is meer logging toegevoegd aan de ‘ontbrekende tls’ meting. Deze geeft af en toe false positives en daar willen we vanaf. Dit is een traag proces en we verwachten dat het heel even duurt voordat alles weg is.
Het toevoegen en verwijderen van endpoints wordt nu gelogd en omgezet naar grafieken, hierdoor kunnen we grote verschuivingen detecteren en bepalen of er iets mis is met de internetverbinding of de meting.
HSTS meting bevatte een bug waardoor de meting qua bewijsvoering ‘klapperde’.
Met de verplichting van TLS voor de overheid, wordt vanaf nu ook de internet.nl TLS meting meegenomen. Deze meting verschilt van de andere metingen rondom TLS en HSTS op basisbeveiliging. In dit artikel staan de verschillen.
Het eerste rapport met deze meting staat live op 4 juli 2023.
De nieuwe meting
De nieuwe meting wordt geintroduceerd als oranje. Hoewel het een wettelijke verplichting is, en alles zegt dat dit rood zou moeten zijn, beginnen nieuwe metingen volgens ons publicatiebleid altijd ten hoogste op oranje.
We houden deze meting nog op oranje totdat is uitgekristaliseerd hoe de handhaving werkt, dat er wordt gehandhaafd en of er eventuele uitzonderingen ontstaan de komende tijd. Deze meting wordt op dit moment alleen uitgevoerd op hoofd-domeinen.
De meting wordt verder toegelicht met de volgende bronnen:
Deze meting omvat 20 sub-metingen die soms wel en soms niet relevant zijn. Deze afzonderlijke punten publiceren we niet, om zo de lezer van de site niet te overladen met metingen. Het testrapport is te zien op internet.nl, volg daarvoor de link bij “show measured data” zoals in het screenshot hieronder.
Screenshot van de meting op het niveau oranje
Anders dan de huidige TLS/HSTS metingen
Zoals gezegd: Op basisbeveiliging testen we al HSTS en TLS. Maar toch is deze meting anders.
De andere TLS meting is afkomstig van Qualys SSL Labs. Deze commerciele partij gebruikt dit als marketingstool voor hun dienstverlening. Deze meting past niet hetzelfde beleid toe als het NCSC, maar een algemener beleid. Er zijn twee belangrijke meetwaarden in SSL Labs die niet uit de meting van internet.nl komen, namelijk:
Of er specifieke en state of the art kwetsbaarheden aanwezig zijn in de verbinding. Regelmatig komen er nieuwe uit die voor veel problemen zorgen. Een bekend en wat ouder voorbeeld is Heartbleed, maar zo zijn er nog 10.
Of er vertrouwen is in het certificaat. Zijn de naam, tijd, geldigheid, CA, revocation nog op orde.
De HSTS meting van basisbeveiliging is ook anders. Wij volgen namelijk redirects, waar internet.nl dat expliciet niet doet. Voor een goede HSTS meting zou iedere stap in de ketting aan redirects HSTS moeten hebben, maar dat meten we op dit moment niet: alleen de laatste. Deze twee HSTS metingen vullen elkaar nu dus aan.
