De eerste vervanging wordt aangezet op 19 maart en vervangt de SSL Labs-meting voor betrouwbaarheid van versleuteling. Dit wordt gemeten met een nieuwe scan in Basisbeveiliging. Qua beoordeling loopt deze nagenoeg gelijk met bevindingen van Qualys SSL Labs en Internet.nl, met als toevoeging een zeer uitgebreid overzicht van wat er allemaal mis is. Een beheerder heeft daarmee meteen het volledige overzicht. Als bonus wordt er gemeten op meerdere poorten, dus niet meer alleen op de standaardpoort 443. Tot slot worden direct twee bijzondere situaties meegenomen in de beoordeling; deze leggen we verderop in het artikel uit.

Ergens medio april volgt het tweede deel. Dan wordt de nieuwe versie van Internet.nl vrijgegeven, waarin de nieuwe TLS-richtlijnen van het NCSC zijn verwerkt. De richtlijnen zijn strenger waardoor we veel nieuwe negatieve beoordelingen verwachten. Door het volgen van de richtlijnen is Internet.nl het enige meetinstrument dat aan het versleutelingsbeleid van de overheid voldoet. Basisbeveiliging gebruikt een deel van de metingen van Internet.nl al langere tijd. De richtlijnen gaan over het protocollen, niet over de programmatuur die de protocollen implementeren. Die zijn soms nog steeds kwetsbaar, de richtlijn stelt dat men up-to-date moet blijven: dat is altijd waar.

Met deze twee veranderingen blijft er nog een kleine rest aan kwetsbaarheden over die we nu (tijdelijk) niet meten. Deze komen tot uiting bij het gebruik van museumstukken om online diensten aan te bieden. We overwegen of en hoe we dit alsnog kunnen controleren in een latere meting.

In dit artikel kijken we terug naar de hoogtijdagen van SSL Labs en kwetsbaarheden in versleuteling. Daarna gaan we in op de uitdagingen van onze nieuwe meting: hoe meet je vertrouwen? Het artikel sluit af met twee meetvoorbeelden uit de praktijk.

Wij danken SSL Labs voor de vele jaren leveren van hoogwaardige metingen. Voor ons is deze evolutie een mijlpaal, omdat we hiermee onze bakermat achterlaten.

Vind je transparantie, veiligheid, soevereiniteit, toegankelijkheid en privacy belangrijk? Word dan deelnemer van de Internet Cleanup Foundation en ondersteun onze missie om het internet transparant te maken. We meten al meer dan 10.000 organisaties en 300.000 adressen en maken deze informatie beschikbaar voor iedereen. Meer over deelnemerschap.

Het artikel gaat verder onder de afbeelding.

Kwetsbaarheden als marketing

Waarom Qualys de capaciteit van SSL Labs heeft verminderd, is niet bekend. Ondanks de verminderde capaciteit blijft de tool erg bruikbaar en een goede promotiemachine voor Qualys. Het was een van de eerste online diensten waarmee beheerders van sites op een overzichtelijke manier hun websites konden testen. Dit was waardevol, omdat medio 2010 de kwetsbaarheden om je oren vlogen. SSL Labs was de eerste plek waar je de nieuwste kwetsbaarheden meteen kon meten.

Onderzoekers hadden destijds ook het idee opgevat om hun kwetsbaarheden te voorzien van een naam en logo. Heartbleed was de eerste; dit was een ernstige kwetsbaarheid waarmee het geheugen van computers op afstand kon worden uitgelezen. Dat bevat bijvoorbeeld verwerkte gegevens van gebruikers die gevoelig kunnen zijn, maar ook de sleutels van de versleuteling zelf. Met dat laatste konden verzonden gegevens worden ontsleuteld. Later volgenden er meer gemerkte kwetsbaarheden rondom versleuteling, zoals Ticketbleed, ROBOT en POODLE. Versleuteling was hot en SSL Labs stond in het middelpunt van de aandacht.

SSL Labs stond ook toe dat resultaten opnieuw gepubliceerd mochten worden door anderen. De gebruiker moest dan wel linken naar Qualys om zo reclame te maken voor het bedrijf. Het gebruik moest ook openbaar zijn. Dit is de weg waarop Basisbeveiliging de afgelopen tien jaar deze meting heeft gepubliceerd.

In de afgelopen zeven jaar zijn er geen breed uitgemeten en gemerkte kwetsbaarheden meer toegevoegd aan SSL Labs. Er zijn natuurlijk nog steeds kwetsbaarheden, maar met de komst van nieuwe protocollen zoals TLS 1.2 en TLS 1.3 zitten deze niet meer in het protocol maar in de implementatie ervan. Het is theoretisch mogelijk dat er morgen een nieuwe kwetsbaarheid wordt gepubliceerd, maar ook dan verwachten we niet dat SSL Labs zijn meetcapaciteit nog gaat verhogen. De grootste dreiging die men nu al jaren voorziet, is dat versleuteld verkeer van vandaag in de toekomst makkelijk is te ontsleutelen. Om dat het hoofd te bieden, zijn er al nieuwe manieren van versleuteling beschikbaar.

SSL Labs had in het gebruik wel wat uitdagingen. Zo werd er gemeten vanuit de Verenigde Staten, wat een ander beeld en soms andere resultaten opleverde dan een meting vanuit Nederland. Het project wordt ook gesloten ontwikkeld: het is niet mogelijk om het zelf te draaien of om problemen in de broncode te vinden of op te lossen.

De meeste kwetsbaarheden waar SSL Labs nog op meet, komen bij up-to-date versleuteling niet meer voor. Voor de enkele andere gevallen is een software update nodig. In de volgende tabel staat een overzicht van de kwetsbaarheden waar SSL Labs op controleert, de leeftijd en wat er minimaal nodig is om het probleem te verhelpen. De rode draad is dat het gaat over stukken antiek.

Het artikel gaat verder onder de tabel.

Meten van betrouwbaarheid

SSL Labs beoordeelde niet alleen de technische vertrouwelijkheid van een meting, maar gaf ook een oordeel over de betrouwbaarheid. Dit is een heel andere manier om naar versleuteling te kijken. Browsers doen dat ook: zij geven een heel duidelijke waarschuwing wanneer versleuteling niet op orde is. In onze nieuwe meting proberen we nog vollediger en behulpzamer te zijn dan SSL Labs.

Om een goede meting neer te zetten, moeten we gaan bepalen wat we betrouwbaar vinden. Over het algemeen bestaan daar afspraken over. Zo is er een beperkt aantal geaccrediteerde bedrijven waarvan we enige vorm van integriteit mogen verwachten. Mochten zij daarin falen, bijvoorbeeld omdat er onterecht geldige certificaten worden uitgegeven onder hun naam, dan wordt het vertrouwen in dat bedrijf ingetrokken en de bijbehorende certificaten ongeldig verklaard. Dit levert daarna de eerder genoemde waarschuwingen in de browser op.

Het vertrouwenssysteem zit zo in elkaar dat iedereen mag bepalen wie ze vertrouwt. Op digitale apparatuur wordt vaak van tevoren een lijst met vertrouwde organisaties meegeleverd en bijgewerkt. Een gebruiker kan dit alsnog volledig naar eigen smaak en wens bepalen en inrichten, bijvoorbeeld omdat er vertrouwen tussen personen of bedrijven is afgesproken op papier.

Basisbeveiliging geeft in haar nieuwe meting ook extra vertrouwen, waar browsers dat niet doen. Wij vertrouwen twee extra organisaties die daardoor in heel specifieke situaties een afwijking mogen hebben. De rest moet dan nog steeds op orde zijn. Wanneer deze situaties optreden, wordt het label “trusted by policy” gegeven en een groene beoordeling. Wie dan naar de pagina surft, ziet alsnog een waarschuwing. Wij maken uitzondering in de volgende twee gevallen:

De Nederlandse staat heeft een aantal certificaten aangewezen als vertrouwd. Deze worden uitgegeven door de Staat der Nederlanden, Digidentity, KPN, QuoVadis, ZOVAR en het UZI-register. Deze certificaten worden regelmatig gemeten. In dit geval vertrouwen wij specifiek de uitgever. Andere controles, zoals de verlooptijd van een certificaat, worden nog steeds uitgevoerd.

Microsoft is de tweede partij die we vertrouwen in een specifiek geval. Het gaat om een aantal subdomeinen die nodig zijn voor online dienstverlening van het product Office 365. Dit is een populair product bij veel overheden. Het gebruik van dit pakket vereist een aantal subdomeinen, zoals “enterpriseenrollment”. Daarop wordt vervolgens een certificaat van Microsoft aangeboden en niet van de domeineigenaar zelf. Het probleem is dat het certificaat niet aansluit op het domein waar het gebruikt wordt: dat is onbetrouwbaar. Maar omdat wij weten welke certificaten dat zijn en de situatie zeer specifiek is, keuren wij deze afwijking goed. Ook hier moet de rest wel goed zijn, zoals dat het certificaat niet is ingetrokken.

Onze nieuwe meting is een drop-in replacement voor de betrouwbaarheidsmeting van SSL Labs, maar dan open source. De uitkomsten zijn hetzelfde in de 20.000 sites waarmee we dit hebben getest. Omdat er onbeperkt veel mogelijkheden zijn voor de inrichting van versleuteling, zullen we ongetwijfeld nog wel nieuwe meetfouten in exotische scenario’s tegenkomen.

In de onderstaande tabel staat hoe de nieuwe meting zich verhoudt tot SSL Labs en Internet.nl

Het artikel gaat verder onder de tabel

De inhoud van de betrouwbaarheidsmeting

In het onderstaande voorbeeld is te zien dat de meting zeer uitvoerig en volledig is. Het is daarmee specifieker en diepgaander dan SSL Labs op dit onderwerp. In de meting wordt gewerkt met constateringen en beoordelingen. Constateringen kunnen sommige problemen verklaren, terwijl beoordelingen direct bepalen of iets goed of slecht is. Een beoordeling kan beleidsmatig worden weggestreept; welk beleid wordt gebruikt en de invloed daarvan is ook in de resultaten terug te zien.

In de meting wordt rekening gehouden met de volgende punten:

• Een overzicht van alle ontvangen certificaten met alle details.
• Op welke IP-adressen welke certificaten zijn ontvangen (een domein heeft vaak meerdere IP-adressen om de bezoekersaantallen te verspreiden over meerdere servers. Sommige sites leveren per IP een andere set met certificaten; vaak is dat een onjuiste configuratie, maar het is niet per definitie fout.)
• Welk “validation_path” wordt gebruikt. Dit is het antwoord op de vraag: in welke volgorde moet ik de ontvangen certificaten lezen om bij een vertrouwd punt uit te komen? Overige certificaten worden genegeerd maar wel getoond.
• Constateringen over:
  • De geleverde certificaten: is de volgorde juist, zitten er duplicaten in e.d.
  • Certificaten afzonderlijk: staat er een naam en onderwerp in
• Beoordelingen over:
  • De ketting van certificaten: wordt deze vertrouwd
  • De certificaten afzonderlijk: zijn ze geldig, is de naam juist, zijn ze ingetrokken of geblokkeerd, is het doel juist, is de sleutel sterk e.d.
• Onvolledige informatie wordt automatisch aangevuld, voor zover dat mogelijk is. Dat doen we bijvoorbeeld met Authority Information Access.

Zo ziet dat er op de website uit. Deze interface is nog niet helemaal af.

Een voorbeeld van een standaardscenario van Rijksoverheid.nl is hieronder te zien:

{
  "hostname": "rijksoverheid.nl",
  "port": 443,
  "ip_version": 4,
  "reports": [
    {
      "hostname": "rijksoverheid.nl",
      "port": 443,
      "ip_version": 4,
      "ip_addresses": [
        "178.22.85.8",
        "178.22.85.9",
        "178.22.85.10",
        "178.22.85.11"
      ],
      "trust_policy": [],
      "chain": {
        "verify_return_code": 0,
        "verify_return_message": "ok",
        "order_correct": true,
        "incomplete": false,
        "certificate_count": 2,
        "validation_path": [
          0,
          1
        ],
        "has_duplicate_certificates": false,
        "trust_policy": [],
        "issues_after_trust_policy": []
      },
      "certificates": [
        {
          "certificate": {
            "order": 0,
            "subject": "CN=rijksoverheid.nl,O=Rijksoverheid,L=Den Haag,ST=Zuid-Holland,C=NL",
            "issuer": "CN=DigiCert G2 TLS EU RSA4096 SHA384 2022 CA1,O=DigiCert Ireland Limited,C=IE",
            "serial_number": "20745128947824244504813894076557775527",
            "common_name": "rijksoverheid.nl",
            "subject_alt_names": [
              "feeds.government.nl",
              "feeds.rijksoverheid.nl",
              "government.nl",
              "opendata.government.nl",
              "opendata.rijksoverheid.nl",
              "rijksoverheid.nl",
              "static.rijksoverheid.nl",
              "www.government.nl",
              "www.rijksoverheid.nl"
            ],
            "not_before": "2025-07-16T00:00:00+00:00",
            "not_after": "2026-07-15T23:59:59+00:00",
            "crl_uris": [
              "http://crl.digicert.eu/DigiCertG2TLSEURSA4096SHA3842022CA1.crl"
            ],
            "ocsp_uris": [
              "http://ocsp.digicert.eu"
            ],
            "signature_algorithm": "sha256",
            "public_key_algorithm": "RSA",
            "public_key_size_bits": 2048,
            "sha1_fingerprint": "ad9195b63b7e7e9b9555bf88b5eafd4b184efa80",
            "sha256_fingerprint": "4e25c8add553f56d7522d149f7f725e62b2276fd3c4b77809e11df2515b08271"
          },
          "analysis": {
            "expired": false,
            "not_yet_valid": false,
            "has_common_name": true,
            "common_name_matches_hostname": true,
            "domain_matches_hostname": true,
            "has_subject": true,
            "self_signed": false,
            "revocation_status": "not_revoked",
            "insecure_signature": false,
            "insecure_key": false,
            "blocklisted": false,
            "in_validation_path": true,
            "trust_policy": [],
            "issues": [],
            "issues_after_trust_policy": [],
            "observations": []
          }
        },
        {
          "certificate": {
            "order": 1,
            "subject": "CN=DigiCert G2 TLS EU RSA4096 SHA384 2022 CA1,O=DigiCert Ireland Limited,C=IE",
            "issuer": "CN=DigiCert Global Root G2,OU=www.digicert.com,O=DigiCert Inc,C=US",
            "serial_number": "8388256945268818773803678311110571166",
            "common_name": "DigiCert G2 TLS EU RSA4096 SHA384 2022 CA1",
            "subject_alt_names": [],
            "not_before": "2022-09-19T00:00:00+00:00",
            "not_after": "2032-09-18T23:59:59+00:00",
            "crl_uris": [
              "http://crl3.digicert.com/DigiCertGlobalRootG2.crl"
            ],
            "ocsp_uris": [
              "http://ocsp.digicert.com"
            ],
            "signature_algorithm": "sha384",
            "public_key_algorithm": "RSA",
            "public_key_size_bits": 4096,
            "sha1_fingerprint": "5d87007cdf358910925bea5433778f7813749510",
            "sha256_fingerprint": "a4adfc2917bb1451d312371d441acdb686107fbc0b3156d5570e99e1121974fa"
          },
          "analysis": {
            "expired": false,
            "not_yet_valid": false,
            "has_common_name": true,
            "common_name_matches_hostname": false,
            "domain_matches_hostname": false,
            "has_subject": true,
            "self_signed": false,
            "revocation_status": "could_not_check",
            "insecure_signature": false,
            "insecure_key": false,
            "blocklisted": false,
            "in_validation_path": true,
            "trust_policy": [],
            "issues": [],
            "issues_after_trust_policy": [],
            "observations": []
          }
        }
      ],
      "certificate_issues": [],
      "certificate_issues_after_trust_policy": [],
      "certificate_observations": [],
      "chain_issues": [],
      "chain_issues_after_trust_policy": [],
      "chain_observations": [],
      "scan_issues": [],
      "error_class": null
    }
  ],
  "trust_policy": [],
  "certificate_issues": [],
  "certificate_issues_after_trust_policy": [],
  "certificate_observations": [],
  "chain_issues": [],
  "chain_issues_after_trust_policy": [],
  "chain_observations": [],
  "scan_issues": [],
  "error_class": null
}

The post Eigen meting en Internet.nl vervangen Qualys SSL Labs appeared first on Internet Cleanup Foundation.

Over de Certificatenregen 2025 en 2026

Het was half vijf vrijdagochtend op hackerspace Hackalot in Eindhoven toen de laatste envelop dicht ging. In één zitting vanaf half twee ’s middags werd door een team van vier mensen een totaal van 106 certificaten gedrukt en verpakt. Een paar dagen daarvoor zaten we we al met vijf mensen de enveloppen en stickerbundels klaar te leggen voor de grote dag. Drie 3D-printers hadden inmiddels een week lang dag en nacht erepenningen staan printen: 22 uur per printje van zeven, met misdrukken zoals dat gaat bij 3D-prints.

Dit ging een stuk soepeler dan de regen van 2024. Op vrijdag 24 oktober gingen alle enveloppen op de post.

De Certificatenregen wordt mogelijk gemaakt door bijdragen van deelnemers van de Internet Cleanup Foundation. Het werk dat nodig is om de certificaten en alle toebehoren te maken en op te sturen wordt geleverd door vrijwilligers. Wordt deelnemer om de jaarlijkse Certificatenregen te ondersteunen.

De certificatenregen van 2026 vindt plaats van 28 september tot en met 2 oktober 2026. Zorg ervoor dat jouw organisatie in die week ten minste 1 dag op groen staat op Basisbeveiliging.nl, dan sturen wij het unieke en nieuwe certificaat van dat jaar op! Spelregels voor de volgende regen worden drie maanden van tevoren gepubliceerd op de website van de Internet Cleanup Foundation en gedeeld via de gebruikelijke kanalen.

Vanwege het succes en de impact van de Certificatenregen hebben we ervoor gekozen om het woord “Certificatenregen” als woordmerk te registreren bij het Benelux Merkenbureau, het merk is te vinden onder inschrijvingsnummer 1520206. De Certificatenregen is hierdoor een exclusieve actie van de Internet Cleanup Foundation, waardoor we de unieke combinatie van kwaliteit en vermaak kunnen blijven waarborgen.

Winnaars 2025

De winnaar met het grootste domeinenportfolio van 2024 was ABN AMRO met 154 domeinen. Op basis van het domeinenonderzoek aan het begin van dit jaar hebben we meer dan 25.000 domeinen toegevoegd, waaronder ook een groot aantal aan de bankensector. Dit zorgde ervoor dat ABN AMRO met 527 domeinen deze keer niet in de prijzen viel. Er zijn echter wel drie banken die dit jaar het certificaat hebben verdiend. De bank met het grootste veilige domeinportfolio is ASN Bank (voorheen de Volksbank). Het aantal domeinen in hun portfolio steeg van 62 naar 293.

Er zijn twee organisaties met een nog groter veilig domeinportfolio. Dit zijn Managed Service Provider SLTN met 314 domeinen en de absolute winnaar van de Certificatenregen 2025: Dienst Publiek en Communicatie van het Ministerie van Algemene Zaken met 696 domeinen. Een absoluut waanzinnig aantal dat nog steeds groeit.

De top 10 van 2025 staat in de tabel hieronder. Het volledige overzicht van alle 106 organisaties is te vinden in het certificaatregister.

Alle winnaars krijgen in hun managementsamenvatting linkjes te zien dat zij winnaar zijn geweest van een Certificatenregen. ASN Bank is een van de weinige organisaties die het twee keer op rij is gelukt om te winnen, wat twee linkjes met gouden bekers oplevert.

Vormgeving certificaat 2025

Het certificaat van 2025 kent een iets bijgewerkt ontwerp ten opzichte van het eerste jaar. In het oog springt natuurlijk de grote gouden preegzegel met daarop de tekst “Seal of Trust and Competence”. Naast het certificaat ontvingen winnaars ook een uniek 3D-geprinte erepenning met hun naam en het aantal goed beveiligde domeinen. Hieronder staat een foto van het pakket dat iedere winnaar ontving.

Er zitten ook dit jaar weer verborgen verrassingen in het certificaat en de brief. Deze gaan we niet allemaal verklappen, maar eentje willen we wel delen. Ook dit jaar is er weer gedrukt met ultraviolette inkt. Deze keer in drie kleuren, iedere kleur drukt een andere afbeelding. Blauw wordt gebruikt voor een echtheidskenmerk, geel voor een kruiswoordpuzzel en wit voor een foto van een bekende roodharige zanger die in 1987 een wereldhit over onbetwistbare relationele toewijding scoorde.

The post Certificatenregen 2025: 106 organisaties ontvingen het felbegeerde baseline cyber security certificaat appeared first on Internet Cleanup Foundation.

Om iedere organisatie de kans te geven kondigen we de certificatenregen dit jaar ruim voldoende aan. Om een certificaat te bemachtigen zijn er een aantal spelregels opgesteld. Ook geven we van tevoren aan wat men van ons kan verwachten in de aanloopperiode.

De certificatenregen is bedoeld om de online veiligheid van Nederland te stimuleren. Deze positieve stimulans is een initiatief van de Internet Cleanup Foundation. De certificatenregen wordt mogelijk gemaakt door de bijdragen van onze deelnemers.

De spelregels

Dit zijn de belangrijkste spelregels.

1. De regenperiode vindt plaats van 22 tot en met 26 september 2025.
2. Een organisatie krijgt een certificaat als zij ten minste één dag op groen staat tijdens de regenperiode.
3. De organisatie heeft ten minste vier endpoints en twee (sub)domeinen.
4. Alleen metingen en organisaties op de site basisbeveiliging.nl doen mee.
5. In het onderwijs worden overkoepelende organisatie beoordeeld, niet de instellingen zelf.
6. Aanmelden is niet nodig.

Onderaan het artikel staan nog een aantal voorwaarden.

Wat je van ons kan verwachten

1. In een periode van 3 maanden, vanaf 16 juni tot en met 26 september, zal basisbeveiliging.nl:
   1. geen nieuwe hoofddomeinen toevoegen,
   2. geen nieuwe type of soort metingen toevoegen,
   3. niets wijzigingen in de beoordeling van bevindingen.
2. Domeinen en subdomeinen die al in de database staan en ineens actief worden tellen wél mee. Dit zijn er ±50.000.
3. Er worden wél nieuwe subdomeinen toegevoegd zoals test.example.nl.
4. Metingen worden actueel gehouden.
5. Drie weken voor de deadline, vanaf 1 september, wordt de frequentie van metingen opgevoerd.

Tijdspad

Het certificaat: ontwerp nog niet bekend

Iedere certificatenregen krijgt een nieuw uniek ontwerp. Dit ontwerp is van tevoren nog niet bekend: het moet nog worden ontwikkeld en het is nog een verrassing wat het precies wordt. Het certificaat van 2024 had een kenmerkend ontwerp en allerlei veiligheidskenmerken, waaronder een hologram en druk met UV inkt. Dit verwachten we in 2025 weer te doen.

Het certificaat van 2024 was erg goed ontvangen. Bekijk hier hoe het certificaat er in 2024 eruit zag.

Actievoorwaarden

1. Het maximale aantal te vergeven certificaten is 250. Wij verwachten daarmee alle winnaars een certificaat te kunnen geven. Bij meer dan 250 winnaars zullen de organisaties met een groter online profiel voorrang krijgen, maar afhankelijk van het aantal winnaars kan ook het maximum nog iets worden verruimd.
2. Groen staan betekent dat er geen hoge (rode) of midden (oranje) risico’s aanwezig zijn. Lage risico’s worden niet meegenomen in de beoordeling.
3. Domeinen die worden opgeheven of overgedragen kunnen worden doorgegeven via de helpdesk.
4. Ook organisaties van niet gepubliceerde kaartlagen doen mee, mits ze voor 1 juli waren toegevoegd.
5. Uitzonderlijke situaties zoals grote storingen die plotselinge vertekeningen veroorzaken kunnen de beoordeling bemoeilijken en vertragen. De roadmap zal hierop aangepast worden mocht het nodig zijn.
6. Mocht uw organisatie door overmacht tijdens de regenperiode niet op groen kunnen komen, dan is het mogelijk om vooraf via schriftelijke overeenstemming gebruik te maken van de herstelperiode. Traagheid of onkunde is nooit overmacht.
7. Metingen op basisbeveiliging blijven zo veel mogelijk stabiel. Mochten er metingen worden aangepast en deze negatieve impact hebben, dan worden specifieke metingen uitgesloten bij de beoordeling van uw organisatie.
8. Verzending certificaat: Het adres van verzending is het postadres dat op de website van de organisatie staat. Wanneer dit niet beschikbaar is, zoals bij vele overheidsorganisaties, wordt er gezocht naar een alternatief. Een certificaat wordt maximaal twee keer opnieuw verstuurd naar een ander adres wanneer deze onbestelbaar blijkt. Certificaten worden alleen verstuurd naar organisaties in het Koninkrijk der Nederlanden.
9. Toegankelijkheidsmetingen op basistoegankelijk.nl of beveiligingsmetingen in België op basisbeveiliging.be tellen niet mee.
10. Aan de certificatenregen kunnen geen rechten worden ontleend: het behalen van een certificaat is een privilege en geen recht.
11. ICF behoudt het recht om naar eigen inzicht certificaten toe te kennen of te weigeren zonder opgaaf van redenen.
12. ICF behoudt het recht om spelregels en voorwaarden aan te passen zonder overleg of aankondiging.

Certificatenregen is een merk van de Internet Cleanup Foundation.

Lees hier meer over de Internet Cleanup Foundation.

The post Aankondiging Certificatenregen: 22 tot 26 september 2025 appeared first on Internet Cleanup Foundation.

Basistoegankelijk meet, beoordeelt en publiceert de digitale toegankelijkheid van alle sites van de overheid, zorg, onderwijs en vitaal. Dit maakt het makkelijker en goedkoper om toegankelijk te worden en te blijven, zelfs wanneer een site regelmatig wordt aangepast. Websites worden zo volledig mogelijk gemeten.

De metingen dekken ongeveer 30% van de WCAG-eisen en worden maandelijks en later wekelijks herhaald. Alle rapporten zijn openbaar en gratis in te zien door iedereen. Men kan dus meteen aan de slag.

Tussen 12 mei en 28 juni is basistoegankelijk als bèta beschikbaar. De volledigheid en bereikbaarheid kan dan sterk wisselen.

Basistoegankelijk maakt van digitale toegankelijkheid een algemeen goed.

Bezoek basistoegankelijk.nl

Basistoegankelijk wordt mogelijk gemaakt door: SIDN Fonds, Centrum voor Informatiebeveiliging en Privacybescherming, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, Alliantie Digitaal Samenleven, CoBytes, Hacker Hosting en SURF.

Lancering rond 28 juni

Basistoegankelijk.nl is beschikbaar vanaf 12 mei 2025. Voor een periode van ongeveer twee maanden zal de website als “bèta” beschikbaar zijn. Dat betekent dat er nog grote veranderingen kunnen worden doorgevoerd: vooral om efficiënter en vollediger te meten.

Wie in deze periode goed oplet ziet dat basistoegankelijk.nl zelf en de andere websites van Internet Cleanup Foundation nog niet voldoen aan de basistoegankelijkheidseisen. Dat weten we, omdat we ook onszelf meten en de rapporten daarover ook publiceren.

In de periode rondom 28 juni 2025 zal er een officiële lancering worden gehouden. Details daarover worden later gedeeld.

Transparantie: de nieuwe manier van werken

In Nederland wonen ongeveer twee miljoen mensen met een beperking. Het ministerie van Binnenlandse Zaken zegt in de werkagenda Waardengedreven Digitaliseren dat iedereen mee moet kunnen doen in het digitale tijdperk. De overheid verplicht dat zichzelf sinds 2018.

De veel bredere European Accessibility Act gaat vanaf 28 juni 2025 gelden. Deze wet stelt de Web Content Accessibility Guidelines (WCAG) verplicht voor online producten en diensten van publieke én private partijen. De wet zal enige vorm van handhaving met zich mee gaan brengen. Volgens het dashboard digitoegankelijk.nl voldoet 52% van de sites van de overheid (deels) aan de eisen met status A, B en C. Op andere sectoren is geen zicht… tot nu.

Aan toegankelijkheid wordt waarde gehecht. De markt produceert volop betaalde toegankelijkheidsrapporten, voor iedere site regelmatig één. Deze aanpak is langzaam en prijzig. Uit deze in opdracht gemaakte rapporten blijkt dat een deel van de inhoud wordt gemaakt met automatische metingen. Naar schatting beslaan deze 30% van alle WCAG-eisen, waaronder ook eisen met grote impact voor mensen met een beperking.

De druk vanuit regelgeving, de langzame en dure aanpak door de markt en de hoge automatiseerbaarheid scheppen een kans voor een nieuwe manier van werken. Deze is transparant, openbaar, proactief en automatisch. Dit komt samen op basistoegankelijk.nl.

Basistoegankelijk maakt van digitale toegankelijkheid een algemeen goed.

Sneller en goedkoper toegankelijk

Door basistoegankelijk te gebruiken wordt het aanzienlijk makkelijker en goedkoper om toegankelijk te worden en te blijven. Belangrijke sectoren worden proactief gemeten: rapporten zijn dus al beschikbaar en openbaar. Er is geen inkoop, geld of goedkeuring nodig om aan de slag te gaan met toegankelijkheid. De nieuwe meting volgt vanzelf, daaruit blijkt of alles al is opgelost of dat er iets nieuws te doen is.

Voor complexere toegankelijkheidsmetingen zijn er nog steeds specialisme en menselijke controle nodig. Omdat organisaties de basis al kunnen oplossen kan deze controle zich specialiseren om moeilijker te meten onderdelen en complexere scenario’s.

De verwachting is dat organisaties basistoegankelijk zullen inzetten om binnen een jaar meer dan 1000 websites te verbeteren.

Over de Internet Cleanup Foundation

Basistoegankelijk.nl wordt gemaakt door de Internet Cleanup Foundation. Deze stichting heeft al ruime ervaring met het openbaar meten van hele sectoren op het gebied van veiligheid. Dit te zien op de website basisbeveiliging.nl: met veiligheidskenmerken van meer dan 200.000 internet adressen van de overheid, zorg, onderwijs en vitaal. Sinds begin 2025 is basisbeveiliging beschikbaar in België.

Basisbeveiliging heeft tienduizenden kwetsbaarheden helpen oplossen. En nog steeds dagelijks meer. Dit project is overheidsbeleid geworden.

Informatiebeveiliging leunt op beschikbaarheid van informatie. Informatie hoort dus ook beschikbaarheid te zijn voor mensen met een beperking.

Voorbeelden van rapportages

In de volgende twee schermafbeeldingen en omschrijvingen wordt de hoofdmoot van onze nieuwe toegankelijkheidsrapportages gedemonstreerd. In totaal zijn er ongeveer honderd verschillende metingen en dit worden er in de toekomst nog meer.

Toegankelijkheidsrapport

Per website wordt een toegankelijkheidsrapport opgesteld. In onderstaande afbeelding staat het rapport van basistoegankelijk.nl zelf.

Eerst wordt aangegeven wat de scope en het doel van het rapport is. Daarna worden twee opties gegeven: navigatiemomenten tonen aan/uitzetten en “reviewer” hulpmiddelen aan en uitzetten.

Inhoudelijk begint het rapport met een uitklapbaar startmoment. In dit startmoment staan hoe groot deze huidige meetsessie is: het aantal gevonden belemmeringen, hoeveel pagina’s zijn bezocht en hoeveel tijd er is gespendeerd. Ook staan de grenzen aangegeven zoals het maximaal aantal pagina’s en tijd. Tenslotte staat er een verdeling van op welk niveau belemmeringen zijn gevonden: serieus, matig of klein.

Het rapport wordt opgebouwd door over de site te navigeren met een browser. Per pagina worden er belemmeringen verzameld. Deze worden per soort belemmering getoond als uitklapbare bevinding. Nadat alle belemmeringen van een pagina zijn getoond wordt aangeven waar naartoe er wordt genavigeerd. Zo wordt stap voor stap de hele site bezocht.

Afzonderlijke meting in het rapport

Per meting is te vinden hoe we op deze pagina zijn gekomen. Hier kunnen honderden stappen voor zijn genomen, standaard wordt alleen de laatste getoond. De rest is uit te klappen mits dat aanwezig is.

In de schermafbeelding hieronder wordt kleurcontrast getoond. De titel daarvan is “Kleurcontrast – 2 Serieuze belemmeringen”. Hierna worden de twee kleuren getoond en een kleine schermafbeelding.

Na het uitklappen van de meting wordt er een samenvatting getoond. In dit geval staat daar dat het contrast te laag is volgens de WCAG 2AA norm.

Daarna wordt een suggestie getoond om het probleem op te lossen. Daarbij wordt aangegeven welk contrast er gemeten is en wat het zou moeten zijn. Voor wie de schermafbeelding kan zien, ziet meteen dat de tekst voor bijna niemand leesbaar is. Deze is namelijk donkerblauw op donkergrijs.

Voor ontwikkelaars wordt getoond welke code relevant is voor de bevinding. Zo kan een ontwikkelaar direct naar de juiste broncode gaan in hun project.

De bevinding wordt tenslotte nog voorzien van een aantal kenmerken: onder welke standaard het valt, welke categorie en een aantal verwijzingen naar uitgebreide documentatie. Tot slot is het mogelijk om iedere bevinding lokaal in de browser van de ontwikkelaar af te vinken als “opgelost”. Hierdoor dient het overzicht aan metingen als een uitgebreide afvinklijst. Dit zijn de zogenaamde “reviewer” hulpmiddelen waar we het bij de vorige schermafbeelding over hadden.

Bezoek basistoegankelijk.nl

The post Nieuw: Basistoegankelijk.nl Beta appeared first on Internet Cleanup Foundation.

Bezoek het museum nu, want binnenkort kan het leeg zijn!

Wat maakt software museumwaardig

Museumwaardige software was ooit populair maar wordt niet meer onderhouden en verdere ondersteuning is niet gangbaar.

Bij software met afgeschermde broncode zoals die van Microsoft is het helder wanneer iets museumwaardig wordt. We nemen als voorbeeld de populaire webserver “Internet Information Services”. Op de ondersteuningspagina staat dat versie 6.0 sinds juli 2015 (n.Chr.) niet meer wordt ondersteund. Dit is een harde datum. Microsoft biedt in uitzonderlijke gevallen extra ondersteuning, maar daarachter zit een solide business case met prijzen uit de categorie “wij hebben er geen zin in”. Dergelijke ondersteuning is grofweg voor niemand weggelegd.

Wanneer de broncode beschikbaar is onder een open source licentie verloopt ondersteuning radicaal anders. Iedereen kan en mag besluiten om extra energie te stoppen in deze ondersteuning. Vaak is dat proces van tevoren gestroomlijnd met de naam Long Term Support (LTS). Dit heeft ook een zakelijk broertje genaamd Extended Long Term Support (ELTS). Een zogenaamde “LTS-versie” krijgt geen nieuwe mogelijkheden maar kwetsbaarheden en andere vormen van grote hinder worden verholpen.

Een voorbeeld van LTS-software is webserver Nginx versie 1.18. De maker hiervan, F5, is op 20 april 2021 gestopt met ondersteunen. Maar een groep vrijwilligers van het besturingssysteem Debian onderhoudt deze specifieke versie nog steeds als onderdeel van hun besturingssysteem. Wij meten daardoor enkele duizenden installaties op versie 1.18. Oudere maar ook een paar nieuwere versies van Nginx zijn zeldzaam: die worden niet onderhouden en dat zijn dus typisch museumstukken.

Uiteindelijk stopt Long Term Support, maar dat betekent niet altijd het einde van deze software. Bedrijven als Freexian en Redhat bieden Extended Long Term Support (ELTS). De invulling hiervan wisselt van project tot project: wie betaalt bepaalt. De ondersteuning wordt namelijk geleverd aan een krimpende groep gebruikers die eigenlijk moeten upgraden. Een ELTS-contract kan prijzig zijn en biedt niet altijd een oplossing: sommige problemen zijn diepgeworteld en onoplosbaar.

Meting en aanpassing in risico

Basisbeveiliging meet en publiceert versienummers sinds februari 2023 en gaf dat tot nu toe drie beoordelingen: geen informatie (ok), een beetje reclame van een product (laag risico) of een zeer specifieke versie (hoog risico). Deze grofmazige beoordeling leverde kritiek van organisaties die claimen altijd de laatste versies te draaien: het risico is dan niet hoog. Daar hebben ze een punt.

Met de komst van het museum wordt de beoordeling verfijnd. Het publiceren van een zeer specifieke versie wordt nu als midden risico/waarschuwing (oranje) beoordeeld. Een reliek uit de oudheid wordt beoordeeld als hoog risico.

In de tabel staat een voorbeeld van de verschillende beoordelingen:

Hoe wordt dit gemeten

De meting van een versienummer is bijvangst. Hiervoor wordt geen bijzondere actie verricht. Integendeel: websites geven deze informatie proactief en ongevraagd aan iedere bezoeker. De bezoeker gooit deze informatie doorgaans weg.

Basisbeveiliging meet versies op twee veelgebruikte diensten: websites (http) en beheer op afstand (ssh). De meting wordt uitgevoerd met het programma nmap dat overweg kan met allerlei diensten. Technisch gezien is het weinig ingewikkelder. Bij websites zit de versie vaak in de HTTP headers en bij beheer op afstand wordt dit uitgewisseld tijdens het opzetten van de verbinding.

In de onderstaande afbeelding staat hoe deze meting in zijn werk gaat. Aan de linkerkant staat Basisbeveiliging, aan de rechterkant staat de online dienst die wordt gemeten. De interactie tussen die twee partijen verloopt in twee stappen. Eerst wordt de website opgevraagd. Daarna geeft de online dienst een reactie.

Wat kan ik eraan doen?

Grofweg zijn er twee stappen om te ondernemen om problemen met museumstukken te voorkomen:

1. Zorg dat er alleen ondersteunde software wordt gebruikt. Dat kost geld en energie.
2. Haal versienummers weg.

Stap twee ligt misschien wat minder voor de hand. Basisbeveiliging gaat ervan uit dat niet iedere organisatie de middelen en capaciteit heeft om alles altijd bij te houden. Ook vinden wij dat het een aanvaller wel erg makkelijk wordt gemaakt wanneer specifieke versies worden gepubliceerd. Het weghalen van een versienummer voorkomt dat een aanvaller zeer doelgericht slachtoffers kan maken. Het weghalen van informatie valt onder hardening en is een onderdeel van security through obscurity. Zo’n stap is weinig werk en past in een defense in depth strategie. Net iets minder prijsgeven helpt, maar voorkom dat het de enige verdedigingslinie is.

Neem snel een kijkje, voordat het museum leeg is! https://basisbeveiliging.nl/museum/

Hoe ziet het museum eruit

Op de dag voor de lancering zag het museum er uit zoals op de afbeelding hieronder. De voorpagina bestaat uit een opsomming van museumstukken. Per stuk krijgen ze een omschrijving waarin staat wat het product doet en tot wanneer specifieke versies werden gebruikt. Daaromheen staat waar dit museumstuk wordt gebruikt. In de schermafbeelding is te zien dat niet ondersteunde versies van webserver Nginx 295 keer worden gebruikt. Per keer staat welke versie er wordt gebruikt en op welk adres het museumstuk is te vinden.

Bij lancering stonden er 18 verschillende stukken in het museum. Waaronder programmeertaal PHP5, webserver Internet Information Services 7 en besturingssysteem Debian 7. Ieder van de stukken is voorzien van verwijzingen naar de historie van het product.

Er zijn nog twee andere pagina’s in het museum, deze staan onder de tabbladen “overzicht per sector” en “detailaanzicht per sector”. Op deze pagina’s staan de museumstukken onderverdeeld per sector. Zo is te zien dat 13% van gemeenten werkt met museumstukken. Dat is relatief weinig vergeleken met het onderwijs, waar 61% van de organisaties dit doet. Door op de details van een sector te klikken kan zien welke organisaties precies museumstukken gebruiken. Dit brengt je naar het laatste tabblad waar de naam van de organisatie staat met de domeinen waarop een stuk antiek te vinden is. Het klikken op de domeinnaam leidt de bezoeker door naar de individuele meting in het rapport op basisbeveiliging.nl.

Over basisbeveiliging

The post Basisbeveiliging Museum: Het museum waar stukken verdwijnen, dus kijk snel! appeared first on Internet Cleanup Foundation.

Al deze nieuwe domeinen leidde ook tot extra vragen aan de helpdesk. Zoals: Wat moeten we nu?, Wat zijn de verwachtingen?, Waarop worden deze domeinen gemeten?, enzovoort. In dit helpdeskartikel leggen we uit hoe om te gaan met dit soort domeinen en welke metingen zijn te verwachten.

Veel organisaties leggen extra domeinen vast waar niets op staat of die doorverwijzen naar een andere site. Het vastleggen van een extra domein is goedkoop en vaak blijven die kosten laag. Basisbeveiliging maakt voor haar metingen geen uitzondering voor dit soort domeinen. Dat is ook niet nodig, omdat de eigenaar zelf kan bepalen wat er op deze domeinen staat en dus welke beveiligingseisen van toepassing zijn.

Waarom doorstuur- en parkeerdomeinen?

Het hebben van doorstuur- en parkeerdomeinen is erg gebruikelijk. Op al deze domeinen staat niets of alleen een doorverwijzing. Het merendeel van de geregistreerde domeinen vallen binnen dit type domeinen. Een aantal voorname redenen om extra domeinen vast te leggen zijn:

1. Fraudebescherming zoals typosquatting, denk aan www-rijksoverheid.nl.
2. Veel voorkomende verkeerde spelling van een organisatie, zoals gooisemeeren.nl met dubbel e.
3. Verkorten van de naam van een project of organisatie.
4. Doorsturen van een projectnaam, concept, persoon en et cetera naar de echte site.
5. Beschermen van oude namen en merknamen.
6. Reserveren van toekomstige domeinen om kaping te voorkomen.

Omdat deze domeinen onderdeel zijn van een organisatie vereisen ze ook beveiligingsmaatregelen. Er zijn zelfs maatregelen nodig op domeinen waar geen website staat.

Parkeerdomeinen

Op een parkeerdomein staat niets, is de gedachte. Helaas hebben fraudeurs en spammers ervoor gezorgd dat er toch beveiligingsmaatregelen noodzakelijk zijn. Deze maatregelen gelden ten minste voor e-mail en zij voorkomen dat fraudeurs mail kunnen versturen die lijkt alsof het afkomstig is van dat domein. Het niet toepassen van deze maatregelen wekt de indruk dat het domein gehackt is. Dat komt omdat de administratieve eigenaar van het domein wordt geassocieerd met de inhoud van de mails. Een fraudeur vindt dat zeer wenselijk omdat meer mensen de e-mail dan serieus nemen.

Laten we een voorbeeld nemen aan de website wwi.nl. Dit domein is geregistreerd door de Rijksoverheid. Er staat geen website op en het leidt ook nergens naartoe. Maar de rijksoverheid wil natuurlijk niet dat er phishing plaatsvindt onder hun naam. Om dat te voorkomen zijn er een aantal beschermingseisen voor e-mail noodzakelijk.

Deze kenmerken zijn gedocumenteerd door internet.nl. Op de internet.nl toolbox-wiki staat precies hoe een leeg parkeerdomein moet worden beschermd. Samengevat moet het bericht “dit domein verstuurd geen e-mail” worden ingericht. Een bijkomend voordeel is dat deze maatregelen is dat eventueel misbruik ook opgemerkt kan worden.

Parkeerdomeinen hebben doorgaans geen website. Dat wil zeggen dat ze niet in het ‘internet adresboek’ staan, ofwel geen A en AAAA records. Omdat er geen website staat zijn aanverwante beveiligingseisen ook niet nodig. Er zijn geen bezoekers en basisbeveiliging kan ook niets meten. Dit scheelt dus het instellen van allerlei maatregelen zoals een versleutelingscertificaat, de juiste website-instellingen en het security.txt bestand. Wanneer een domein geen website heeft maar wel andere diensten aanbiedt raden wij aan om alsnog een security.txt bestand te plaatsen.

Soms wordt een parkeerdomein door een leverancier of eigenaar ingericht met een ‘in aanbouw’ of ‘gereserveerd voor’ webpagina. Dat lijkt handig, maar brengt wel met zich mee dat nu wél een website staat. Deze website moet net als andere websites aan de gangbare veiligheidsnormen voldoen.

Doorstuurdomeinen

Een doorstuurdomein stuurt een bezoeker door van het ene adres naar het andere. Zo stuurt ministerschoof.nl de bezoeker door naar een biografische pagina over de minister-president op de website rijksoverheid.nl. Met deze registratie wordt voorkomen dat iemand aan de haal gaat met dit domein, bijvoorbeeld om verwarring te veroorzaken. Een meer tijdloze doorverwijzing is ingesteld voor minister-president.nl, eveneens van de Rijksoverheid.

Het doorsturen van een domein vereist het aanbieden van een website. Deze website wijst op een of andere manier door naar de juiste site. Dat doorverwijzen kan op allerlei manieren, maar de beste en meest gangbare is het gebruiken van een HTTP Redirect.

Omdat doorsturen gebeurt met een website en webserver zijn alle gebruikelijke beveiligingseisen voor websites van toepassing, deze zijn terug te vinden in het meetbeleid. Dit zijn o.a. het gebruik van DNSSEC, versleuteling en het instellen van de HSTS-header. Voor de overheid zijn die laatste twee zelfs wettelijke verplicht.

Een andere verwachte maatregel is een security.txt bestand. Ook dit bestand kan worden doorgestuurd naar een centraal document zodat er niet voor elk domein een nieuw bestand hoeft worden opgemaakt. In dat geval ziet een bezoeker het volgende gebeuren:

1. Een bezoeker gaat naar: https://ministerschoof.nl/.well-known/security.txt
2. De browser ontvangt een HTTP Redirect code en volgt deze op
3. De bezoeker komt uit op https://www.ncsc.nl/.well-known/security.txt
4. De bezoeker trekt conclusie is dat kwetsbaarheidsmeldingen op het domein ministerschoof.nl naar het NCSC mogen

Wat gaat er vaak fout?

Wij krijgen regelmatig vragen via de helpdesk over doorstuur- en parkeerdomeinen. Doorsturen geeft de meeste uitdagingen. De volgende vijf punten komen daarin vaker dan gemiddeld langs:

1. Niets inrichten. Op dit soort domeinen staat soms reclame van het hostingsbedrijf of een standaardpagina van een webserver.
2. Niet juist doorsturen: Er wordt wel doorgestuurd, maar direct naar een subdomein. Daardoor kan de HSTS-header niet correct ingesteld worden op het nieuw-bezochte domein. Een doorstuurdomein hoort eerst een https upgrade uit te voeren en eventueel daarna pas door te sturen naar een subdomein. Dus: http://example.nl naar https://example.nl en dan naar https://www.example.nl. Dus niet direct van http://example.nl naar https://www.example.nl, omdat er dan geen HSTS header wordt geplaatst op het hoofddomein.
3. Geen HSTS-instellen: men denk dat dit niet nodig is bij een HTTP Redirect
4. Niet instellen van DNSSEC, Security.txt of andere zaken bij doorstuurdomeinen.
5. Niet alle HSTS metingen bij alle partijen zijn volledig, waardoor een false negative ontstaat. Die van internet.nl is dat wel.

Samengevat

Bekijk voor exacte inrichting van doorstuur- en parkeerdomeinen de toolbox-wiki van internet.nl. Bekijk voor een overzicht van alle metingen van basisbeveiliging het meetbeleid.

Parkeerdomeinen

• Bevatten geen webpagina (dus ook geen ‘gereserveerd voor’, o.i.d.)
• Hebben geen website, dus A/AAAA records in de DNS
• Zonder website is er geen meting mogelijk op verbindingsveiligheid
• Kunnen wel misbruikt worden voor email spoofing/phishing
• Worden daarom wel gecontroleerd op DNS- en Emailveiligheid

Doorstuurdomeinen

• Bevatten een webpagina (met een HTTP Redirect of ander doorstuurmechanisme)
• Moeten daarom voldoen aan verbindingsveiligheid, omdat bezoeken via https gebruikelijk is
• Omdat er een website staat gelden de gebruikelijke beveiligingseisen voor sites
• Net als parkeerdomeinen kunnen ook deze domeinen misbruikt worden voor email spoofing/phishing
• Deze domeinen worden daarom ook gecontroleerd op DNS- en Emailveiligheid

Lees verder

• Hoe vatbaar is uw digitale communicatie voor phishing? -> https://www.pvib.nl/actueel/ib-magazines/ib-magazine-2020-6

The post De helpdesk #9: hoe om te gaan met doorstuur- en parkeerdomeinen appeared first on Internet Cleanup Foundation.

Alle gekoppelde domeinen worden deze week toegevoegd aan basisbeveiliging. Het proces van koppelen en toevoegen wordt nog een paar keer herhaald in de komende weken, dus het aantal nieuwe domeinen zal verder toenemen.

In dit artikel staat hoe wij domeinen hebben gevonden, welke informatie erover is verzameld, op welke manier is gekoppeld en worden tot slot opmerkelijke resultaten getoond. Een tipje van de sluier: Het bedrijf KPN heeft een immense uitdaging: zij krijgt er ineens 1800 domeinen bij. Van al hun nieuwe domeinen hebben wij een mooie en kunstzinnige bureaubladachtergrond gemaakt.

75% van alle .NL domeinen bekend

De Nederlandse domeinnamen worden beheerd door de Stichting Internet Domeinregistratie Nederland (SIDN). Dit zijn alle domeinen die eindigen op .nl. Iedereen kan online opvragen wie de eigenaar is van een domein, maar aan het gebruik van deze bevraging en de antwoorden zitten allerlei voorwaarden. Daardoor mocht basisbeveiliging deze informatie tot nu toe mondjesmaat gebruiken. Op basis van de data uit de eerder verkregen toestemming vonden wij dat 8% van de overheidssites geen duidelijke eigenaar heeft.

Sinds kort hebben wij toestemming gekregen om vaker gegevens bij SIDN op te vragen met als doel het aantal domeinen op Basisbeveiliging aan te vullen. Wij moeten daarvoor zelf domeinen vinden en daarvan gegevens opvragen. Het SIDN beheert 6,1 miljoen domeinen en publiceert daarvan geen volledige lijst. Landen als Zweden en Zwitserland doen dat wel. Een commerciële domeinbewaker heeft onlangs via de rechter geprobeerd de volledige lijst te krijgen, wat ook in beroep is afgewezen. De AIVD wil dat het beheer van deze lijst in Nederland blijft. Voor specifieke onderzoeks- en veiligheidsdoeleinden deelt het SIDN de volledige lijst onder geheimhouding, daar valt Basisbeveiliging (nog) niet onder.

Daarom hebben wij uit allerlei bronnen mogelijk bestaande domeinen verzameld. Bijvoorbeeld uit het certificatenarchief. In dit archief staan alle websites waarmee een versleutelde verbinding kan worden gemaakt via https://. De oorsprong van dit archief was de kraak van Diginotar in 2011. Er zijn ook lijsten gekocht bij commerciële partijen die hierin handelen. Diverse dataverzamelaars in ons netwerk hebben ook hun lijsten gedeeld. Tenslotte zijn er allerlei domeinen gegokt. Dit leverde een lijst van ongeveer 6,8 miljoen mogelijke domeinnamen.

Van ieder van deze 6,8 miljoen namen zijn gegevens opgehaald bij het SIDN. Het bleek dat 2,1 miljoen domeinen niet meer bestonden of onjuist waren. Uiteindelijk kwamen wij uit op 4,7 miljoen actieve domeinen. Dat is net meer dan 75% van alle .nl domeinen. De opgevraagde gegevens daarvan zijn niet altijd even bruikbaar.

Bij 1,1 miljoen actieve domeinen wordt niet gepubliceerd wie de houder is. Dat is afgeschermd of simpelweg niet ingevuld. Ook zorgen anonieme registraties voor onduidelijkheid. Het SIDN verbiedt anonieme registratie sinds 1 oktober 2023 maar de handhaving hierop is onbekend. Uiteindelijk zijn er dus 3,2 miljoen domeinnamen waarmee de gegevens op Basisbeveiliging kunnen worden verrijkt.

Prijs schieten in 3,2 miljoen domeinen

Nu is de vraag: welk domein is van wie? Basisbeveiliging wil een volledig en actueel beeld bieden van online veiligheid van alle belangrijke organisaties in Nederland. De gevonden domeinen moeten dus op een of andere manier worden gekoppeld aan Basisbeveiliging.

De eerste koppeling die wij hebben gelegd is op basis van registrant. Domeinhouders zijn verplicht om dit veld correct in te vullen. Onze doelgroepen zullen dat in de meeste gevallen hebben gedaan. Hoewel het mogelijk is om opzettelijk verkeerde registratiegegevens in te vullen zien wij dat nog niet gebeuren. Wij verwachten dit wel. In dergelijke gevallen kan SIDN de registratie opheffen en zullen wij het domein weghalen.

Het informatieveld registrant bevat soms verouderde informatie, bijvoorbeeld een opgeheven gemeente. Ook worden er gebruikelijke meerdere alternatieve spellingen gebruikt per organisatie. Zo zijn 39 domeinen van ABN AMRO geregistreerd met twee spaties tussen ABN en AMRO. Netbeheerder TenneT registreert onder “TenneT TSO B.V.” en “TenneT Holding B.V.”, en zo voort.

Het koppelen van deze informatie was het onderwerp van de pizza sessie van februari. Op één avond zijn er bijna 2000 koppelingen gelegd door vier vrijwilligers. Daardoor zijn er 26.582 domeinnamen toegekend aan organisaties. Dat is een verdrievoudiging van het aantal hoofddomeinen in Basisbeveiliging op dit moment.

Het merendeel van de nieuwe domeinen zijn zogenaamde doorverwijzingen en parkeerdomeinen. Hierop staan geen volwaardige websites of andere online diensten. Als er helemaal niets op is te vinden verschijnt het domein ook niet op basisbeveiliging.

In de tabel hieronder is te zien hoeveel nieuwe hoofddomeinen worden toegevoegd per sector. Om de tabel niet te lang te maken zijn er tien regels te zien. Er zijn ook domeinen gekoppeld aan provincies, veiligheidsregio’s, GGD’s, waterschappen en natuurlijk onszelf. Onder de tabel staat een schermafbeelding van het eindresultaat uit het koppelsysteem dat is gebruikt tijdens de pizza sessie.

Dit artikel gaat verder onder de tabel en afbeelding.

Highlights

Ter leerling ende vermaeck een aantal highlights uit de enorme hoeveelheid aan nieuwe domeinnamen.

1800 nieuwe domeinen van KPN

Onder de naam “Koninklijke KPN N.V. ” (met extra spatie) vonden we 1707 nieuwe domeinen. Dat zijn niet alleen alle merknamen zoals Telfort en Xs4all, maar ook allerlei concepten en reclamecampagnes. Een favoriet is goedemoggel.nl uit de legendarische reclamecampagne over makkelijk mobiel e-mailen.

Het aantal domeinen en bijbehorende concepten is immens. Om dat punt te maken is er een bureaubladachtergrond gemaakt waarin de meeste nieuwe domeinen zijn te zien. Probeer deze niet allemaal te lezen of te begrijpen, tenzij het doel hoofdpijn en burn-out is. Ontdek in plaats daarvan iedere dag weer een nieuw domein, ruim vier jaar lang.

235 nieuwe domeinen bij ABN-AMRO

Een van de winnaars van de certificatenregen 2024 was ABN-AMRO. Dé Bank werd destijds beoordeeld op 1 hoofddomein en alle 150 onderliggende domeinen. Hier komen 235 hoofddomeinen bij. Verreweg de meeste hiervan zijn parkeerdomeinen met verkeerde spellingen van de bedrijfsnaam, verouderde merknamen en dergelijke.

Maar er zijn ook volwaardige website te vinden. Bijvoorbeeld van de kunstcollectie op heritageabnamro.nl, de jongerenorganisatie youngabnamro.nl en natuurlijk de hoofdsites van overige merken die eigendom zijn van ABN zoals Tikkie, Moneyou, New10, Circl, Defam, Alfam, Florius en dergelijke.

De lichtelijk stigmatiserende website van de personeelsvereniging, bankhard.nl, wordt niet meegenomen. Personeelsverenigingen zien wij niet als onderdeel van een organisatie, tenzij de organisatie hiervoor het domein heeft vastgelegd.

3192 domeinen op naam van de Rijksoverheid

De rijksoverheid publiceert een websiteregister met daarin al hun actieve en informatieve websites, dus niet alle domeinen. Onder de naam “Rijksoverheid” vonden wij 3192 extra domeinen die niet in dit register staan. Het gaat dan bijna altijd om parkeerdomeinen en doorverwijzingen.

Een paar voorbeelden: de domeinen van prinsjesdag zijn tot 2050 alvast vastgelegd. Een aantal domeinen die met 14 beginnen, waarschijnlijk vanwege het netnummer 14, zijn bij voorbaat gereserveerd. Verouderde campagnes en organisatieonderdelen hebben vaak nog een domein. Ook zijn er enkele typfouten vastgelegd om te beschermen tegen fraude. Allerlei ministers hebben doorverwijzingen naar rijksoverheid.nl en ga zo maar door.

De domeinen van de Rijksoverheid verdelen wij gebruikelijk onder de juiste organisatieonderdelen, maar dat is in dit geval veel werk. Daarom wordt er op korte termijn een aparte organisatie en lijst gemaakt waarin deze domeinen worden geplaatst. Hiervan worden eventueel werkende domeinen zo spoedig mogelijk verhuisd naar de juiste ministeries en andere organisaties.

32.000 domeinen van thuisbezorgd buiten beschouwing gelaten

De organisatie met verreweg de meeste domeinen is Thuisbezorgd. Onder Thuisbezorgd.nl staan 15.000 domeinen en Takeaway.com heeft er meer dan 17.000. Thuisbezorgd heeft als strategie om op alle aangesloten restaurants te voorzien van een minisite waarop de naam, het merk, de gegevens en de menukaart van het aangesloten restaurant worden gebruikt. Dit domein is geen eigendom van het restaurant en valt onder de verantwoordelijkheid van Takeaway.com.

Basisbeveiliging meet Takeaway.com omdat zij een grote betalingsverwerker is. Wij vinden de meerwaarde van het testen van alle minisite-domeinen niet opwegen tegen de lasten die het veroorzaakt. De minisites zorgen effectief voor meer betalingen en inkomsten maar lopen allemaal via hetzelfde betaalplatform en dezelfde online infrastructuur.

140 Typfouten bij Gooise Meren

Gemeente Gooise Meren heeft 140 typefouten van haar naam geregistreerd. Deze scoren allemaal 100% op internet.nl en wijzen door naar de website gooisemeren.nl. Doordat deze domeinen goed werken zorgt de gemeente ervoor dat mensen de verkeerde spelling van de gemeente aanleren. Het aantal typfouten dat iemand kan maken is exponentieel, dus hoe men op deze lijst is uitgekomen is een raadsel. Probeer ze maar eens allemaal uit te spreken. Dit zijn ze van A tot Z:

3cooisemeren.nl, eooisemeren.nl, fooisemeren.nl, gaaisemeren.nl, geeisemeren.nl, gfooisemeren.nl, ggoisemeren.nl, ggooisemeren.nl, ghooisemeren.nl, giiisemeren.nl, gioisemeren.nl, g00isemeren.nl, gkoisemeren.nl, gmoisemeren.nl, gnoisemeren.nl, gogisemeren.nl, goiisemeren.nl, goioisemeren.nl, goiosemeren.nl, goisemeren.nl, go0isemeren.nl, gokisemeren.nl, gomisemeren.nl, gonisemeren.nl, gooasemeren.nl, gooayesemeren.nl, gooesemeren.nl, gooeyesemeren.nl, goohsemeren.nl, gooi3emeren.nl, gooiaemeren.nl, gooicemeren.nl, gooidemeren.nl, gooiemeren.nl, gooiesmeren.nl, gooiisemeren.nl, gooiosemeren.nl, gooiqemeren.nl, gooiremeren.nl, gooisaemeren.nl, gooisamaran.nl, gooisameren.nl, gooisdemeren.nl, gooisdmeren.nl, gooise-eren.nl, gooiseeeren.nl, gooiseemeren.nl, gooiseemren.nl, gooiseeren.nl, gooiseieren.nl, gooiseleren.nl, gooisemairn.nl, gooisemaren.nl, gooisemdren.nl, gooiseme2en.nl, gooisemearn.nl, gooisemeben.nl, gooisemeeen.nl, gooisemeen.nl, gooisemeeren.nl, gooisemeern.nl, gooisemepen.nl, gooisemeran.nl, gooisemerdn.nl, gooisemere.nl, gooisemereb.nl, gooisemereen.nl, gooisemeref.nl, gooisemerej.nl, gooisemerel.nl, gooisemerem.nl, gooisemerenb.nl, gooisemerenm.nl, gooisemerenn.nl, gooisemerens.nl, gooisemereo.nl, gooisemerern.nl, gooisemerewn.nl, gooisemergn.nl, gooisemermn.nl, gooisemern.nl, gooisemerne.nl, gooisemerren.nl, gooisemerrn.nl, gooisemerten.nl, gooisemerun.nl, gooisemerwn.nl, gooisemesen.nl, gooisemeten.nl, gooisemeven.nl, gooisemewren.nl, gooisemezen.nl, gooisemgren.nl, gooisemheirn.nl, gooisemmeren.nl, gooisemmren.nl, gooisemneren.nl, gooisemreen.nl, gooisemren.nl, gooisemrren.nl, gooisemuren.nl, gooisemwren.nl, gooiseneren.nl, gooiseoeren.nl, gooisermeren.nl, gooiserneren.nl, gooisewmeren.nl, gooisgmeren.nl, gooisimirin.nl, gooismeeren.nl, gooismeren.nl, gooismmeren.nl, gooisomoron.nl, gooisrmeren.nl, gooissemeren.nl, gooisumeren.nl, gooisumurun.nl, gooiswmeren.nl, gooiusemeren.nl, gooiwemeren.nl, gooksemeren.nl, goolsemeren.nl, goomsemeren.nl, goooisemeren.nl, gooosemeren.nl, goopisemeren.nl, goosemeren.nl, goosiemeren.nl, goousemeren.nl, gooysemeren.nl, gopisemeren.nl, gopoisemeren.nl, gpoisemeren.nl, gppisemeren.nl, guuisemeren.nl, hooisemeren.nl, ogoisemeren.nl, oooisemeren.nl, wooisemeren.nl, wwwgooisemeren.nl

Over basisbeveiliging

Is de nieuwe informatie onjuist? Het kan natuurlijk zijn dat een domeinnaam lang geleden van de hand is gedaan of dat er om een andere reden een verkeerde eigenaar bij het domein staat. In dat geval raden we aan om contact op te nemen met de helpdesk. Dan worden de onjuiste domein verplaatst of verwijderd. De helpdesk is bereikbaar via [email protected]

The post Opvragen 75% NL domeinen: meer dan 25.000 nieuwe domeinen op Basisbeveiliging appeared first on Internet Cleanup Foundation.

De online veiligheid van de Belgische overheid ligt ver achter vergeleken met buurland Nederland. Dat blijkt uit online veiligheidsmetingen van de nieuwe website Basisbeveiliging.be. Op deze site kan iedereen zien welke Belgische overheid vijf gangbare online beveiligingsmaatregelen toepast. De metingen worden iedere paar dagen bijgewerkt en worden weergegeven met stoplichtkleuren. Groen betekent dat een organisatie voldoet, oranje betekent een waarschuwing en rood betekent onvoldoende veilig.

Alle gemeten overheden hebben de afgelopen drie maanden gehad om met de resultaten aan de slag te gaan. In deze periode meten we vooruitgang bij zes gemeenten en één arrondissement. Daarmee komt het aantal overheden dat voldoet aan deze beveiligingsmaatregelen op negen procent. Dat zijn 53 gemeenten, 5 arrondissementen en 1 provincie. Hierdoor blijft er een kwetsbaarheid op namaak e-mail bestaan, wat al eerder het landelijke nieuws heeft gehaald, bij veel overheden aanwezig.

Het doel van de website Basisbeveiliging.be is het geven van een impuls aan de Belgische overheid om cybersecurity verder op te pakken. Ten minste de grootste drie politieke partijen in België benadrukken het belang hiervan. Een burger kan nu zien of deze plannen ook leiden tot een daadwerkelijke verhoging van de veiligheid.

Dit artikel omschrijft de lange voorbereidingstijd, wat er wordt gemeten en laat zien wat de resultaten zijn. In de resultaten worden België en Nederland met elkaar vergeleken.

Basisbeveiliging wordt gemaakt en beheerd door de Internet Cleanup Foundation, een Nederlandse Stichting met als doel de Beschikbaarheid, Integriteit en Veiligheid van het internet te verhogen. De stichting is onafhankelijk en werkt nauw samen met diverse overheden. In Nederland is Basisbeveiliging onderdeel van het overheidsbeleid.

Alle gepubliceerde gegevens, inclusief historie, zijn te vinden op de publieke website basisbeveiliging.be. Voor de Frans en Duitstaligen is de website respectievelijk op de domeinen securitedebase.be en basissicherheit.be bereikbaar. Alle Franse en Duitse vertalingen van de website zijn samengesteld met AI van DeepL uit Duitsland. Hierdoor komt de boodschap redelijk goed over, maar zullen we zeker imperfecties zijn. Wij verwelkomen vrijwilligers die aan deze vertaling willen bijdragen met handmatige controle.

Dit artikel gaat verder onder de afbeelding.

Drie maanden geen actie

Waar een oproep van basisbeveiliging in Nederland vaak leidt tot overduidelijke actie blijft het in België vooral stil. De voorbereiding van Basisbeveiliging België heeft een aantal weken gekost, waarvan vooraf melden voor niets geweest is. Nog voordat de voorbereiding begon is er contact geweest met het Centre voor Cybersecurity Belgium (CCB) en het agentschap Digitaal Vlaanderen. Bestuurlijk vindt men het risicovol om transparantie te scheppen omdat de uitkomsten niet altijd positief zijn. Dat betekent dat de Internet Cleanup Foundation het risico neemt om met transparantie de veiligheid van België te vergroten.

Bij toeval stuurden we de vooraankondiging uit rond de landelijke verkiezingen. We zien dat de grootste partij in België, de N-VA, onlangs een centrum heeft aangekondigd voor digitale veiligheid. Dit moet nog worden opgericht en is niet aan een partij verbonden. Ook leeft cybersecurity bij Vlaams Belang, Vooruit en de andere partijen. In het Vlaams regeerakkoord staat dat er een Vlaams Centrum voor Digitale Veiligheid komt. We hopen dat deze sturing iets oplevert voor de inwoners van België: dat is iets wat basisbeveiliging heel tastbaar en inzichtelijk maakt.

Voor publicatie hebben we de volgende stappen genomen:

1. Verantwoord melden: Bepalen of het mogelijk is om in België verantwoord kwetsbaarheden te melden. Basisbeveiliging werkt met openbare informatie en hoeft niets te melden, maar we vinden het belangrijk om bij een aankondiging eventuele bestaande processen te volgen. Dan komt de boodschap beter aan omdat de juiste mensen worden geactiveerd. Op de site van het CCB is sinds 2021 te vinden hoe dit proces werkt. Het termijn van een melding tot aan publicatie is 90 dagen.
2. Bepalen metingen: Er is een selectie gemaakt van vijf metingen die als eerst worden uitgevoerd. Dit om te voorkomen dat de lat meteen te hoog komt te liggen bij de eerste introductie. Deze lat wordt dit jaar nog verhoogd.
3. Voorbereiden kaarten: Zorgen dat alle gemeenten, provincies, arrondissementen en deelstaten correct zijn ingeladen, vertaald en een website bevatten. Deze vertaling is per gemeentenaam gebaseerd op de lokaal gesproken hoofdtaal. Naast de hoofdtaal staat de vertaling van het gebied in andere talen. Bijvoorbeeld: Waremme (Borgworm) of Eupen (Néau).
4. Verzamelen e-mailadressen: Van iedere overheid zijn contact e-mailadressen verzameld. Dit is gedaan via de eigen site(s) en via databronnen die de overheid publiceert.
5. Vooraankondiging: Op 9 oktober 2024 is er een vooraankondiging gemaild naar 595 e-mailadressen van alle Belgische overheden. Deze mail is gestuurd in het Nederlands, Frans en Duits. Daarin wordt verwezen naar deze meertalige online aankondiging.
6. Aanloopperiode: Tussen 9 oktober 2024 en 10 februari 2025, 124 dagen, zijn metingen uitgevoerd en bijgewerkt. Deze metingen waren in te zien met de speciale link die in de vooraankondiging staat.
7. Publicatie: Op 10 februari 2025 06:00 is Basisbeveiliging.be gelanceerd samen met dit artikel.

In de tabel hieronder staat hoeveel beweging we hebben gezien in een periode van ongeveer drie maanden.

De eerste vijf meetpunten

In Nederland meet Basisbeveiliging op dit moment 25 meetpunten. Om de lat niet al te hoog te leggen bij de introductie in België is er gekozen om hier een subset van te nemen. De hoop was destijds dat er een minimaal aantal acties nodig was om op groen te komen. Dit helpt bij het motiveren van de organisaties, maar belangrijker: om online veiligheid te borgen in een proces. Dat was de theorie.

De eerste vijf metingen zijn verdeeld over verschillende gebieden: het domein, e-mail en bestandsoverdracht. Later dit jaar zal het aantal metingen toenemen. Hierover worden de overkoepelende organisaties zoals het CCB, Digitaal Vlaanderen en het nieuwe centrum voor digitale veiligheid ingelicht. Zij kunnen beslissen om dit wel of niet door te zetten naar de rest van de overheid, hun achterban.

Deze metingen worden uitgevoerd met drie meetinstrumenten. Het domein wordt gemeten met zonemaster van de Zweedse domeinregistratiedienst. Moderne e-mail standaarden worden gemeten met internet.nl, dit wordt ook door de Nederlandse overheid gebruikt in standaardmetingen. Het onversleuteld versturen van bestanden wordt gemeten door Web Security Map van de Internet Cleanup Foundation: dit is de software achter basisbeveiliging.be.

Niveau	Waarom	Technologie / Meting	Getest met
Domein	Integriteit Domein	1: DNSSEC
E-Mail	Bescherming tegen nagemaakte mail	2: DMARC 3: DKIM 4: SPF
Bestandsoverdracht	Data integriteit en privacy bij bestandsoverdracht	5: FTP zonder TLS

Vergelijking tussen België en Nederland

België en Nederland laten zich het best vergelijken op het niveau van gemeenten. Dit komt omdat beide landen een behoorlijk aantal gemeenten hebben: 580 in België om 342 in Nederland, waardoor er met grotere getallen kan worden gewerkt.

Toch is de vergelijking niet helemaal eerlijk. Dat komt omdat in Nederland bij gemeenten ook projectdomeinen worden meegenomen. Dit zijn alle andere domeinen van een gemeente. Bijvoorbeeld om een natuurgebied te promoten, gebiedsontwikkeling of alle informatie rondom een bepaald thema. Projectdomeinen zijn over het algemeen slechter beveiligd dan het hoofddomein.

Het verschil is te zien in met een voorbeeld in de onderstaande tabel te zien:

Ondanks dat er voor Nederland veel meer wordt gemeten zijn de verschillen met België soms groot.

E-mailfraude bescherming met SPF, DKIM en DMARC

Er zijn drie technieken die helpen beschermen tegen e-mailfraude, het zogenaamde spoofen. Het niet toepassen van deze technieken zorgt ervoor dat een aanvaller relatief eenvoudig mails kan versturen uit naam van een overheid voor phishing. Dit probleem is al eens in de Belgische media geweest. De toepassing van deze technieken zorgt ervoor dat een ontvanger kan controleren of de e-mail van de juiste afzender komt. Ook kan de ontvanger (automatisch) een melding maken als de afzender verkeerd blijkt.

In een notendop geven deze technieken de mogelijkheid om een postzegel op een e-mail (DKIM) te plakken, aan te geven welke postkantoren de e-mail mogen versturen (SPF) en waar klachten naartoe kunnen (DKIM).

De simpelste van deze is SPF, waarbij we zien dat bijna alle gemeenten dit op orde hebben. Met de complexere technieken DKIM en DMARC zien we een groot verschil in toepassing tussen het Vlaamse en Waalse deel van België. Mogelijk dat alleen de Vlaamse media aandacht heeft gehad voor deze problematiek, of is het beleid in Vlaanderen strenger.

In Nederland zien we dat de projectdomeinen de scores van gemeentes aanzienlijk naar beneden halen. Vijf Nederlandse gemeenten passen geen DMARC toe op het hoofddomein: Roermond, Venlo, Cuijk, Haaren en Grave. Dat tegenover 206 Belgische gemeenten. Door alle projectdomeinen scoort de Nederlandse kaart toch behoorlijk rood.

In de afbeelding hieronder wordt de toepassing van DMARC vergeleken tussen België en Nederland vergeleken. In België past 63% van de gemeenten DMARC toe op het hoofddomein. In Nederland is dit 64% op het hoofddomein en projectdomeinen. Nederlandse gemeenten passen nagenoeg altijd DMARC toe op het hoofddomein.

Domeinbescherming met DNSSEC

De tweede waar we op inzoomen is bescherming van domeinnamen met de technologie DNSSEC. Met deze technologie wordt een domeinnaam gekoppeld aan een technisch netwerkadres, bijvoorbeeld brecht.be hoort bij adres 86.39.66.50. Hiermee komt een bezoeker uit op dit adres, en niet op het adres van een (kwaadaardige) tussenpartij die de verkeerde website voorschotelt.

Bij Belgische gemeenten wordt DNSSEC in 15% van 580 domeinen toegepast. In Nederland is dat in 74% van de 1461 gemeten domeinen op orde.

Het grote verschil komt vermoedelijk door een korting die de Nederlandse beheerder van het .nl domein uitgeeft aan haar klanten. In Nederland zijn er een aantal grote partijen die domeinen verkopen. Wanneer zij per domein €0.25 korting krijgen ontstaat er een businesscase van honderdduizenden euro’s om een bepaald probleem op te lossen. Zo wordt er vaker gewerkt met kortingen om beveiligingsproblemen aan te pakken. Op dit moment loopt er zo’n actie rondom de standaard security.txt, maar dat wil minder vlotten omdat dit een decentraler probleem is dan DNSSEC.

Veilig bestandsoverdracht

Bestandsoverdracht kan op allerlei manieren plaatsvinden. Een klassieke (en misschien antieke) manier is via het File Transfer Protocol (FTP). Om bestanden integer en vertrouwelijk te kunnen versturen moet de aanbieder van deze dienst dat ondersteunen. In deze meting wordt gecontroleerd of de aanbieder deze optie ondersteunt.

In België gebruikt 20% van de gemeenten FTP. In 68% staat deze optie aan. Het gaat hierbij om een meting op 4760 adressen waarbij 396 keer FTP wordt aangeboden. In Nederland wordt FTP veel meer toegepast, namelijk bij 53% van de organisaties. In 87% van de gevallen wordt de veilige optie geboden. Vanwege de projectdomeinen wordt er in Nederland op veel meer adressen gemeten.

Het gebruiken van FTP voor bestandsoverdracht kan dus veilig, maar dit vereist ook actie van de eindgebruiker. Wanneer een eindgebruiker niet instelt dat er versleuteling moet worden gebruikt zal de overdracht onveilig gebeuren. Zoiets is niet mogelijk met bestandsoverdracht via andere protocollen zoals over SSH of HTTPS. Daar zit versleuteling namelijk ingebakken. Tegelijkertijd is het gebruik van FTP laagdrempelig en praktisch, het is ondenkbaar dat dit ooit zal verdwijnen.

Over Basisbeveiliging

Basisbeveiliging is sinds 2017 actief in Nederland en meet daar 10.000 organisaties van de overheid, onderwijs, zorg en vitale sectoren. Sinds 2022 is Basisbeveiliging onderdeel van het Nederlandse overheidsbeleid. Achtergronden over de website, zoals informatie over metingen, onze kaders en doelen zijn te vinden op deze pagina in het Nederlands, Frans en Duits. Basisbeveiliging wordt gemaakt en beheerd door de Internet Cleanup Foundation, een Nederlandse Stichting met als doel de Beschikbaarheid, Integriteit en Veiligheid van het internet te verhogen. De stichting is onafhankelijk en werkt nauw samen met diverse overheden in Nederland.

The post Basisbeveiliging België, online veiligheid van de Belgische overheid ligt ver achter bij Nederland appeared first on Internet Cleanup Foundation.

Ons hoogtepunt van 2024 was de Certificatenregen. Dit is een nieuwe traditie waarbij organisaties die groen staan op basisbeveiliging een certificaat ontvangen. Er zijn 100 certificaten uitgereikt aan tal van instellingen van klein tot gigantisch: een certificaat is dus te behalen door iedereen die veiligheid omarmt. De Certificatenregen voor 2025 staat gepland van 22 tot 26 september, hierover volgt begin 2025 een aankondiging met de spelregels. Iedereen doet weer opnieuw mee en het certificaat zal er anders uitzien.

Financieel groeit de stichting maar zit ze nog niet in de safe zone: de stichting blijft dus sterk afhankelijk van vrijwilligerswerk. We zijn erg dankbaar voor de jaarlijks subsidie van het Centrum voor Informatiebeveilging en Privacybescherming (CIP) waarop we begin dit jaar hebben geproost. Ook doneert de Rijksinspectie Digitale Infrastructuur (RDI) jaarlijks het bedrag van 20.000 euro om onze werkzaamheden te ondersteunen. Wij voelen ons ook gesterkt door meer dan 30 deelnemers die het project een warm hart toedragen.

Onze online infrastructuur heeft een enorme boost gekregen door onze sponsoren. CoBytes heeft dit jaar onze machines gemigreerd naar een snellere omgeving en basisbeveiliging.nl heeft nu 72 gigabyte aan werkgeheugen. Twee nieuwe sponsoren hebben de deur geopend voor eigen meethardware, deze zal begin 2025 in gebruik worden genomen. SURF sponsort hiervan de internettoegang en Hacker Hosting levert een groot deel van de hardware. Tenslotte verhuizen we onze eigen virtuele machines van TransIP naar Hetzner om kosten te besparen.

Dit jaar namen we een nieuw helpdesksysteem in gebruik. Dit was een verademing, maar zoveel nieuwe organisaties zorgde ook voor extra veel mail. We ontvingen dit jaar een kleine 5000 e-mails, tussen de 250 en 500 mails per maand. Daar zat van alles tussen: spam, facturen, kennisgevingen en gerichte vragen. Door het nieuwe systeem kunnen we alle mails netter en sneller afhandelen, maar door de grote hoeveelheid zijn we nog niet door alles heen. Dit zal in het volgende jaar extra aandacht krijgen.

In 2024 hebben we vier onderzoeken uitgevoerd. Uit het onderzoek naar cookiebanners op overheidssites blijkt dat er op meer dan 100 verschillende manieren toestemming wordt gevraagd om volgkoekjes te mogen plaatsen. We onderzochten ook het gebruik en de kosten van versleutelingscertificaten en kwamen erachter dat er jaarlijks overbodig miljoenen euro’s aan ceritifcaten wordt uitgegeven met daar bovenop een veelvoud aan overbodig beheer. We vonden ook dat de overheid nog steeds veel dienstverlening inkoopt van buiten de EU, met name uit de Verenigde Staten. In het vierde en laatste onderzoek vonden we 500 kwetsbare SSH servers.

Tot slot hebben we de website van de stichting een nieuw uiterlijk gegeven en informatie beter ingedeeld. Artikelen zijn nu verdeeld onder basisbeveiliging, onderzoek, metingen of kaarten. Uit de bezoekersstatistieken zien we dat we nog steeds rond de 5000 unieke bezoekers per maand ontvangen op onze websites. Dat zijn de bezoekers zonder bescherming tegen bezoekerstracking, wat een groot deel van onze doelgroep toepast. Het daadwerkelijke aantal ligt dus hoger. Op LinkedIn kregen onze berichten samen met de berichten over ons in totaal 150.000 weergaven, van andere social media houden we nog geen overzichten bij.

Het komende jaar gaan we een aantal heel erg leuke nieuwe projecten, kaarten en metingen aankondigen. Blijf dus in de loop op LinkedIn of via Discord. Fijne dagen en een veilig en gezond 2025 gewenst!

Elger, Johan en Wouter van de Internet Cleanup Foundation

Highlights

• 15 nieuwe kaarten, waarvan 5 voor het onderwijs, 1 voor de zorg en 9 voor vitale infrastructuur
• De Volksbank, ING en ABN AMRO losten alle beveiligingsproblemen op en kregen het certificaat
• Het certificaatregister bevat nu 100 organisaties die laten zien dat ze veiligheid omarmen
• De volgcookies van 113.nl zijn verwijderd na publicatie van ons onderzoek
• Voor ons werk in 2023 zijn we opgenomen in de Wall of Fame van het Nationaal Cyber Security Center
• Basisbeveiliging kwam dit jaar langs in allerlei media, waaronder Met Nerds om Tafel, Binnenlands Bestuur, Computable, Telecompaper enzovoort. Een overzicht van alle mentions staat bij de referenties.

Van een aantal highlights hebben we ook de foto’s nog:

Bezoekers op de website

Dit jaar hebben we voor het eerst statistieken van bezoekers. Maandelijks ontving Basisbeveiliging tussen de 2500 en 4000 unieke bezoekers die geen adblocker gebruiken. Gezien een groot deel van onze doelgroep adblockers en dergelijke gebruikt is het daadwerkelijke aantal bezoekers hoger. Verder hebben we downloads toegevoegd van de metingen. Deze worden onderling doorgemaild, dus niet iedereen die onze cijfers ziet gaat naar de website.

CYBER tokens voor de verzamelaars

Dit jaar zijn er drie CYBER tokens uitgegeven ter promotie van basisbeveiliging. Deze keer voor de NLUUG, de ONE Conference en de WICCON cybersecurity conferentie. Wij geven deze tokens uit op speciale gelegenheden en voor conferenties die we erg leuk vinden. Iedere editie heeft een oplage van 1000 stuks en wordt slechts één keer gemaakt. Mensen die een brief sturen naar de sticker swap krijgen er eentje zolang de voorraad strekt.

Bereik op sociale media

In 2023 hadden we een paar hits met eigen berichten, die samen voor 50% van de indrukken zorgden. In 2024 hebben we een grote hit gehad met de Certificatenregen. Dit zorgde voor berichten door anderen in hun netwerk. Op basis van ons eigen gemiddelde van indrukken gedeeld door interacties hebben we achterhaald hoeveel indrukken de berichten van anderen (ongeveer) hebben gehad. Dit laatste getal publiceert LinkedIn namelijk niet.

In totaal is er een daling van 10% in online reach geweest als we alleen kijken naar LinkedIn. Gelukkig zijn er ook andere social media platforms waarop we besproken worden zoals Mastodon en X. Daar hebben we zelf geen aanwezigheid en ook nog geen cijfers van.

Over basisbeveiliging.nl

The post Basisbeveiliging Jaaroverzicht 2024 appeared first on Internet Cleanup Foundation.

Het kostte veel moeite om de digitale infrastructuur in beeld te krijgen, zeker vergeleken met andere sectoren. Dat zorgt voor onduidelijkheid en verwarring bij consumenten, bedrijven en overheden. In dit artikel laten we zien waar het mis gaat en vergelijken we dat met Duitsland, waar dit probleem grotendeels is opgelost met het “Impressum”. Wij vragen de Nederlandse overheid om het publiceren van een impressum verplicht te maken voor alle organisaties die ingeschreven staan bij de KvK op al hun websites.

Qua metingen zien we wederom dat de adoptie van security.txt erg laag is, wat het melden van ernstige kwetsbaarheden in de weg zit. Dit is niet passend bij organisaties die onder de aanstaande cybersecuritywet vallen. Gelukkig zijn er enkele lichtpuntjes te zien: organisaties die actief werken om hun basisbeveiliging op orde te krijgen. Onderaan het artikel zijn grafieken te zien van de goed presterende organisaties.

Voordat we de diepte induiken willen we de Rijksinspectie Digitale Infrastructuur bedanken voor hun prachtige donatie. Wij zijn enorm blij met deze erkenning omdat het substantieel bijdraagt aan het werk waarmee de Internet Cleanup Foundation in 2016 is gestart. Basisbeveiliging draait nog steeds op veel vrijwilligerswerk: het doel van een veilig Nederland staat bij ons voorop. Donaties helpen ons enorm om basisbeveiliging te onderhouden, te blijven meten, te onderzoeken en de veiligheid van Nederland tastbaar te maken. Hierdoor kunnen we onze digitale weerbaarheid gezamenlijk verhogen. Mocht je ons werk ook willen ondersteunen: doneer of wordt deelnemer.

Zes nieuwe kaarten

De zes nieuwe kaarten bevatten 169 verschillende organisaties en 8715 domeinen. We zien dat de grotere organisaties vaak op meerdere subsectoren actief zijn. Toch hebben we naar eigen inzicht geprobeerd bedrijven uniek te houden per kaart. We hebben daarbij de organisaties die verantwoordelijk zijn voor domeinnamen apart gezet en daarna op basis van een schatting naar omzet iedere organisatie op een kaart gezet. Zo staat KPN bij Internet Service Providers en TransIP bij DNS.

Webhosting is waarschijnlijk geen vitaal onderdeel, maar gezien er zoveel overlap is tussen de verschillende bedrijven en overnames in deze sector heel gebruikelijk zijn kan het geen kwaad om hier een deel van te meten. Deze levendigheid kan ook een verrassing met zich meebrengen, in de zin dat er partijen zijn die het voortouw nemen om veiligheid onderdeel te maken van hun selling points.

Er zijn maar enkele organisaties die het echt goed doen of waar we vooruitgang zien. Dat zijn Youfone, VodafoneZiggo, Freedom Internet, SLTN, ERA-IX, Lennmedia en Simptel.

Dit is een overzicht van de nieuwe kaarten:

Op de zes kaarten zijn veel rode stippen te zien:

Mag het impressum verplicht worden?

De markt van digitale dienstverleners is onstuimig. Zeker in de MSP- en Hostingmarkt verschijnen er veel nieuwe bedrijven die vaak worden overgenomen door grotere bedrijven. Dit laat een spoor achter van oude merknamen die soms wel en soms niet nog zelfstandig opereren. Maar dat is niet de enige reden waarom het moelijk is om informatie te vinden. Nog nijpender is het gebrek aan structuur en regels rondom bedrijfsinformatie, waardoor organisaties naar beste inzicht iets doen. We zoomen in op deze twee problemen.

Eerst kijken we naar de onstuimige markt.

Bedrijven die worden overgenomen blijven soms hun functie en gezicht houden, maar de verantwoordelijkheden zijn belegd bij het moederbedrijf. In de inventarisatie aanbieders van DNS-diensten in Nederland staat bijvoorbeeld het bedrijf AXC. Dit bedrijf is met meer dan 45.000 domeinen de 9e grootste leverancier in Nederland. De website is met slechts een postadres minimalistisch. De domeinnaamregistratie geeft niets prijs. AXC wordt in dezelfde regel genoemd met Astralus. De website daarvan is een witte pagina met twee regels tekst en een vriendelijke smiley. Daarvan blijkt uit de domeinregistratie dat deze site naam staat van PCextreme. In de KvK-registratie en IP-informatie van AXC staat ook PCextreme.

De website van dat bedrijf wijst tegenwoordig naar Versio, waar onderaan staat dat het onderdeel van Your.Online is. Hieruit blijkt dat een website niets zegt over de grootte van een bedrijf of van wie het tegenwoordig eigenaar is. Your.Online is een van de grotere ondernemers in de sector en kan waarschijnlijk al worden gezien als zeer kritiek: anders zal dat door nog meer overnames binnenkort wel zo zijn. Het hebben van meerdere merknamen wordt door Your.Online waarschijnlijk gezien als waardevol. Daardoor is niet meteen een band te zien tussen namen als AXC, Neostrada, TWS, Argeweb en Vevida.

Een bedrijf dat juist alle losse merknamen terugbrengt naar één naam is KPN. We zien hier ook een waslijst aan bedrijven die zijn overgenomen, maar daarna qua merk en vertegenwoordiging zijn opgeruimd. Dit zijn bijvoorbeeld Dearbytes, Telfort, Digitenne, Glaspoort, Het Net, Hi, Planet Internet, World Access en XS4All. Daarmee is de lijst vast nog lang niet compleet. In dit geval is het makkelijker aan te nemen dat alle kritieke domeinen in beeld zijn, maar zeker weten doen we het niet. Daarom meten we ook het toplevel domein .kpn zoals overons.kpn en andere KPN domeinen als kpnnet.org, kpn.nl, kpncert.nl en kpn.org. Ook dat is vast onvolledig.

Het tweede probleem is het gebrek aan regels over het publiceren van bedrijfsinformatie. Er zijn wel regels, maar deze zijn onvolledig en werken onduidelijkheid in de hand.

Er wordt vanuit de Autoriteit Consument en Markt vereist dat op commerciele websites voor consumenten een aantal gegevens staan. Maar die eisen zijn onvolledig en maken deze informatie onvindbaar. Zo mist in ieder geval de rechtsvorm van de onderneming en hoeft het KvK-nummer niet altijd genoemd te worden. Deze regels beperken zich tot organisaties die verkopen aan consumenten. Naar ons idee zouden publicatie regels moeten gelden voor alle organisaties met een KvK-nummer. Maar dat is niet het grootste probleem.

Het grootste probleem is dat er geen regels zijn over de praktische vindbaarheid en de presentatie van deze gegevens. Deze vrijheid maakt het vinden van bedrijfsinformatie uitdagend voor consumenten, bedrijven en overheden. Dit leidt tot een situatie waarin niemand zich aan de regels gaat houden, want controleren is onbegonnen werk. En dit is precies wat we zien. Dat kan anders, bijvoorbeeld zoals onze oosterburen dit aanpakken.

Duitsland heeft wetgeving over waar bedrijfsinformatie te vinden moet zijn en hoe dit eruit moet zien: dit heet een impressum. Een letterlijke vertaling van impressum kennen we in het Nederlands niet, maar colofon of bedrijfsinformatie komen in de buurt. Wat ons betreft is impressum een mooi woord om beleidsmatig te adopteren omdat het eenduidig is: het wordt nergens anders voor gebruikt en taalkundig passend te lenen omdat het lijkt op impressie of een indruk. Een bestaand Nederlands woord hergebruiken is onhandig.

Het woord “impressum” staat op iedere zakelijke webpagina. Een zoekopdracht met Control+F leidt direct tot de juiste informatie. Op dit impressum staat geen marketingboodschap maar alleen droge feiten. Iedereen kan in een handomdraai vinden welk bedrijf bij deze website hoort. Dit systeem werkt fantastisch, wat we met de volgende vergelijking onderbouwen.

Wij vragen de Nederlandse overheid om het publiceren van een impressum verplicht te maken voor alle organisaties die ingeschreven staan bij de KvK op al hun websites.

Vergelijking Duitsland en Nederland

Om te laten zien dat het werkt gebruiken we voorbeelden uit twee verschillende sectoren: supermarkten en internet exchanges. In de vier tabellen hieronder staat de naam van de organisatie, waar het impressum staat, hoe deze is te vinden en wat op deze pagina staat.

Supermarkten vallen onder de kritieke sector levensmiddelen, dit is niet aangeduid als zeer kritiek zoals digitale infrastructuur. We mogen minder verwachten van deze sector. We kijken in beide landen naar de vijf grootste supermarkten op basis van omzet.

Bij Duitse supermarkten is te zien dat bedrijfsinformatie eenduidig en rechtlijnig wordt gepubliceerd:

Bij Nederlandse supermarkten is met wat doorzettingsvermogen, nadenken en gokjes de informatie te vinden:

Hieronder staat een vergelijking op basis van een steekproef tussen zeer kritieke Internet Exchanges. Hier wordt gebruik gemaakt van een steekproef uit efficiëntie: deze vijf stuks zijn ongeveer de helft van de sector. Dan maakt sorteren naar bandbreedte of omzet niet zoveel uit.

In Duitsland zien we dat de Internet Exchanges vaak een Engelse site hebben. Hoe het woord “impressum” vertaald wordt wisselt, wat niet praktisch is. Zo gebruikt men de term imprint, wat in Groot Brittannië wordt toegepast bij verkiezingen. Dit maakt het vinden van de informatie iets lastiger maar een bezoeker kan er wel op vertrouwen dat de link naar deze informatie op de voorpagina staat. Gelukkig lijken Impressum en Imprint op elkaar qua zoekterm. Woorden die beginnen met “im” komen immers niet zo veel voor.

Bij Nederlandse Internet Exchanges zien we grote verschillen. Slechts één organisatie biedt deze informatie op een redelijk voor de hand liggende plaats aan. De rest biedt een doolhof en hun informatie is vaak onvolledig met een missend KvK en / of BTW-nummer. Omdat er geen rechtsvorm wordt vermeld is het ook niet duidelijk of deze informatie verplicht is. Voor een buitenstaander zijn deze organisaties dus erg lastig te doorgronden. Het lijkt wel dat hoe ‘professioneler’ de website, des te moeilijker deze informatie is te vinden.

Onbereikbaar bij kwetsbaarheden

Het is erg praktisch om te weten van wie welke website is. Dat maakt communiceren met de verantwoordelijke een stuk eenvoudiger. In het geval van het melden van kwetsbaarheden is er een specifieke standaard bedacht om communicatie te versoepelen. Deze standaard heet Security.txt. Dit is een bestand dat wordt aangeboden op een vaste plaats op de website. Hierin staat alle noodzakelijk contactinformatie voor het melden van kwetsbaarheden.

De toepassing van deze standaard meten we met internet.nl. Op deze site kunnen organisaties zelfstandig ad-hoc testen of zij deze standaard op de juiste manier toepassen.

In augustus zagen we dat 15% van de energiesector de standaard toepast. Dit gemiddelde zien we ook in de financiële sector sector, waarbij Nederlandse banken met 26% adoptie dit het beste doen. De gemiddelde adoptie in de digitale infrastructuur is met 14% erg gemiddeld en daarmee dus ruim onvoldoende. De onderstaande tabel geeft de adoptie weer van security.txt per subsector in de digitale infrastructuur:

De lichtpuntjes

Om het artikel positief af te sluiten laten we wat lichtpuntjes zien. Dit zijn de organisaties die goed scoren ofwel veel werk hebben verzet. Hieronder zijn de grafieken van de aanwezige en afnemende kwetsbaarheden bij hen te zien.

De rode lijn in deze grafieken is de belangrijkste. Dit zijn de hoog risico kwetsbaarheden, deze lijn staat onderaan per organisatie. Rechtsboven staat het aantal midden risico kwetsbaarheden. Er is te zien dat organisaties ervoor kiezen om eerst de hoge risico’s op te lossen en daarna de midden risico’s.

Youfone

Freedom

VodafoneZiggo

SLTN

Glasnet

Lennmedia

Era IX

Simptel

Over basisbeveiliging

The post Zes nieuwe kaarten: Digitale infrastructuur – Verantwoordelijken lastig te vinden appeared first on Internet Cleanup Foundation.