Deze week is een ernstig lek gevonden dat het veilig geachte HTTPS (en ander type verkeer op basis van SSL/TLS) een stuk onveiliger maakt. De lek in de software bibliotheek OpenSSL kreeg de naam Heartbleed. De bibliotheek is verbeterd en het is dan ook zaak dat website eigenaren de nieuwste versie (waarin het probleem is opgelost) installeren en gebruiken.
Een kleine steekproef leert dat Nederlandse genealogische en archief websites geen probleem (meer) hebben op dit punt (zie hier ook een lijst van internationale genealogische websites).
Maar…. uit deze steekproef blijkt ook dat er nog websites zijn die geen HTTPS gebruiken voor login, winkelwagen en bestelpagina’s. Terwijl het versleutelen van persoonlijke informatie toch wel een minimum beveiligingsmaatregel is! In onderstaande tabel zijn de website die geen HTTPS gebruiken rood gemarkeerd.
Website |
SSL niveau (*1) |
archieven.nl (*2) |
– |
beta.bhic.nl | B |
computergenealogie.org | – |
gahetna.nl | A- |
gemeentearchief.wassenaar.nl (*3) | – |
genealogieonline.nl | A- |
militieregisters.nl.geneabase.com | A- |
ngv.nl | – |
openarch.nl | A- |
pictura-dp.nl (*4) | A- |
stadsarchief.amsterdam.nl | A- |
stamboom.nl | – |
stamboomforum.nl | A- |
stamboomnederland.nl | – |
stamboomvragenforum.nl | – |
tresoar.nl | F |
uwstamboomonline.nl | – |
velehanden.nl | – |
wiewaswie.nl | B |
*1 Via https://www.ssllabs.com/ssltest/index.html kun je nagaan hoe de HTTPS implementatie van een website er voor staat. Hierbij wordt het Amerikaanse grade systeem gebruikt waarin A het beste is en F het slechtste.
*2 Deze score (dus geen HTTPS) lijkt van toepassing op alle archiefwebsites die gebruik maken van de software van archieven.nl (De Ree), zoals bijvoorbeeld het Zeeuws Archief
*3 Deze score (dus geen HTTPS) lijkt van toepassing op alle archiefwebsites die gebruik maken van Atlantis (DeventIt), zoals bijvoorbeeld Stadsarchief Rotterdam
*4 Deze score (A-) lijkt van toepassing op alle archiefwebsites die gebruik maken van de software van Picturae.
Werk aan de winkel
Alle website/product eigenaren die nog geen HTTPS gebruiken op die delen van de website waar persoonlijke informatie “over de lijn” gaat: ga je schamen en ga aan de slag met HTTPS!
Zijn er sites die in bovenstaande tabel ontbreken, test de website via SSLlabs en plaats het resultaat als commentaar bij dit artikel.
Via tweet van Ernest Verhees: de winkelwagen van de Digitale Studiezaal van Regionaal Archief Nijmegen (op basis van Atlantis) verloopt via HTTPS.
Ik wil hier wel de opmerking bij maken dat de winkelwagen functionaliteit via AJAX calls verloopt (over HTTPS) waardoor de gebruiker in zijn browser geen "slotje" ziet en dat jammer voor de "bewustwording van digitale beveiliging" van gebruikers.