April Awareness: 87% van de Nederlandse websites is onveilig

87% van de Nederlandse websites die een beveiligde (HTTPS) verbinding aanbiedt, is niet veilig. Dit blijkt uit ons onderzoek in het kader van April Awareness 2015. Door dit lek kan het netwerkverkeer worden onderschept en is er verhoogd risico op onder meer diefstal en fraude. We beseffen dat niet alle websites even veilig hoeven te zijn en het is de verantwoordelijkheid van de eigenaar van de website om te bepalen welke mate van veiligheid nodig is. We troffen veel onveilige verbindingen aan. Je krijgt als bezoeker van deze websites wel het groene slotje in je browser te zien, wat zorgt voor schijnveiligheid. Slechts 13% van de Nederlandse websites met HTTPS biedt een veilige HTTPS-configuratie aan.

Conclusie: de mens lijkt de zwakste schakel
We constateren in April Awareness 2015 dat de mens de zwakste schakel lijkt. Slechts bij 13% van de IP-adressen met HTTPS is dit goed geconfigureerd. Wij zijn geschokt door dit resultaat: 13% is veel minder dan wij hadden verwacht. Wij hopen dat systeembeheerders door April Awareness nog eens goed naar hun HTTPS-configuratie kijken en verbeteringen aanbrengen. Hiermee zorgen we er samen voor dat de verbindingen afdoende beveiligd zijn en websitebezoekers geen vals gevoel van veiligheid krijgen.
LBVD is van mening dat alle webverkeer standaard via HTTPS moet verlopen: bij juiste configuratie creëren we een veiliger internet en een leefbare digitale wereld.

HTTPS blijkt complex om goed in te richten
In de praktijk blijkt HTTPS complex om goed in te richten. Wanneer één element niet, of niet goed wordt geïmplementeerd kan de hele website risico lopen. TLS is op dit moment, met de juiste configuratie, de enige veilige manier om HTTPS aan te bieden. We onderzochten welke versie werd aangeboden: SSLv3, TLS 1.0, TLS 1.1, TLS 1.2. Ook keken we of de IP-adressen die TLS ondersteunen gebruikmaken van ciphers met RC4, wat maakt dat ze alsnog niet veilig zijn.

Tijdens April Awareness 2015 scanden we alle IP-adressen in Nederland, in totaal 36.142.560 IP-adressen. Hiervan hebben 1.123.457 IP-adressen een webserver en daarvan hebben er 427.717 HTTPS.

Van alle IP-adressen die HTTPS aanbieden, ondersteunt maar liefst 68,6% het onveilige SSLv3
SSLv3 is onveilig en moet niet gebruikt worden. Toch ondersteunt 68,6% (293.228) van alle IP-adressen die HTTPS aanbieden SSLv3.
35.3% (396.756) van alle IP-adressen die HTTPS aanbieden ondersteunt TLS. TLS heeft op dit moment drie versies, waarvan de nieuwe relatief iets beter zijn, maar de oudere niet slecht zijn.
Van alle IP-adressen die HTTPS met TLS aanbieden heeft 99.5% (394.673) TLS1.0 , 43.6% (172.889) TLS1.1 en 41.7% (165.552) TLS1.2. Van de IP-adressen die TLS ondersteunen, ondersteunt echter 77.8% (308.803) RC4 ciphers en zijn hierdoor alsnog niet veilig.
Er zijn 32.974 (8.3%) IP-adressen die via HTTPS veilig zouden zijn als ze SSLv3 uitzetten.

Figuur VeiligOnveiligFiguur SSL rood
Wat is April Awareness?

April Awareness is onderdeel van het jaarlijks terugkerend onderzoek van LBVD naar de digitale wereld, met als doel het leefbaar maken van de digitale wereld. De digitale wereld brengt gemak en comfort met zich mee, maar ook risico’s op fraude en diefstal. Organisaties die deelnemen aan April Awareness kunnen het bewustzijnsniveau van hun directie en medewerkers verhogen en in dit geval ook de techniek verbeteren. Hierdoor maken de organisaties samen met LBVD, de digitale wereld leefbaar.

Hoe werkt April Awareness?
Tijdens April Awareness controleert LBVD hoe veilig de websites van Nederlandse organisaties zijn. Organisaties die graag wilden weten hoe goed zij scoren in vergelijking met de overige organisaties in ons onderzoek, konden zich bij LBVD aanmelden voor deelname aan April Awareness. Omdat LBVD dit jaar 10 jaar bestaat deden alle recente opdrachtgevers en LBVD-nieuwsbriefleden automatisch mee. Zij ontvangen eind april de rapportage met daarin hun score en instructies voor het juist configureren van HTTPS.

Door deelname doen de organisaties mee met de benchmark en tonen we aan hoe ze ten opzichte van andere organisaties scoren. LBVD heeft met April Awareness uitsluitend goede bedoelingen en de resultaten zijn niet te herleiden naar personen of organisaties.

Wie deden mee met April Awareness?
De deelnemers van April Awareness blijven anoniem. Wel noemen we de diverse sectoren, onder meer: zorginstellingen, vervoersbedrijven, lokale overheden, provinciale overheden, zakelijke dienstverleners, ICT-dienstverleners, banken en verzekeraars.