Nieuwe Internet.nl met verbeterde testen voor TLS en CSP

15 maart 2021
Vanaf vandaag kunt u gebruik maken van een nieuwe versie van Internet.nl met verbeterde testen voor TLS en voor Content Security Policy. Verder zijn er verschillende wijzigingen, zoals verbeterde ondersteuning voor niet-mail domeinnamen en de verlenging van de minimale HSTS cache-geldigheidsduur. Veel plezier met het nog beter testen op moderne internetstandaarden!

Laatste TLS-richtlijnen van NCSC-NL ondersteund

De onlangs bijgewerkte ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van NCSC-NL hebben geleid tot de volgende wijzigingen in de website- en mailtest:

  1. Het beveiligingsniveau van TLS 1.2 is afgewaardeerd van Goed naar Voldoende (richtlijn B1-1). TLS 1.3 is nog steeds Goed. Dit heeft geen invloed op het testresultaat van Internet.nl, omdat wij Voldoende TLS-versies ook al genoeg achtten om voor de subtest te slagen. Wel hebben we de afwaardering opgenomen in de testuitleg van de subtest voor TLS-versie.
  2. De eisen voor de volgorde van algoritme selecties zijn vereenvoudigd. De volgorde wordt enkel nog op het niveau van veiligheidsniveau's voorgeschreven (richtlijn B2-5). We hebben de subtest voor cipher-volgorde hierop aangepast.
  3. Het ondersteunen van client-initiated renegotation is niet langer Onvoldoende, maar Voldoende (richtlijn B8-1). Internet.nl heeft het niveau van vereistheid voor de client-initiated renegotation subtest gewijzigd in 'Optioneel'.

CSP-instellingen getest

Content-Security-Policy (CSP) bewaakt een website tegen aanvallen met content injection, waaronder cross-site scripting (XSS). We controleren vanaf nu op een aantal (on)veilige CSP-instellingen (zoals unsafe-inline en unsafe-eval), hoewel we de effectiviteit van je CSP-configuratie niet uitputtend testen. Het niveau van vereistheid van de CSP-subtest is verhoogd van 'Optioneel' naar 'Aanbevolen'.

Niet-mail domeinen beter ondersteund

We controleren vanaf nu expliciet op niet-verzendende en niet-ontvangende mailconfiguraties, en verwachten het volgende.

  • Niet-verzendend domein: Gebruik de meest strikte DMARC policy (p=reject) en SPF policy (-all) voor je domein dat je niet gebruikt voor het verzenden van mail, om misbruik ('spoofing') te voorkomen. Merk op dat DKIM in dit geval niet nodig is.
  • Niet-ontvangend domein: In het geval dat je geen mail wilt ontvangen op je domein dat A-/AAAA-records heeft, adviseren wij je om Null MX te gebruiken. In het geval dat je domein geen A-/AAAA-records heeft en je geen mail wilt ontvangen op je domein, adviseren we je om helemaal geen MX-record te configureren (d.w.z. ook geen Null MX record).

Minimale max-age voor HSTS uitgebreid

HTTP Strict Transport Security (HSTS) dwingt een webbrowser om direct via HTTPS te verbinden bij het opnieuw bezoeken van je website. Dit helpt bij het voorkomen van man-in-the-middle aanvallen. We hebben besloten om de minimum HSTS cache geldigheidsduur te verlengen van 6 maanden naar 1 jaar (max-age=31536000). Dit is in overeenstemming met de gangbare good practices.

Meer details over de bovenstaande verbeteringen zijn te vinden in de testuitleg van de betreffende subtests van de websitetest en de e-mailtest.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken.

Release notes:

  • New:

    • NCSC-NL's TLS guidelines 2.1;
    • Validate CSP directives;
    • Support non email sending domains in mailtest for DKIM test;
    • Explicitly test for NULL MX;
    • Support for SSL_OP_PRIORITIZE_CHACHA;
    • Keep and display the organizational domain for DMARC;
    • 100% badges page in knowledge base;
    • Ignore nonces for IPv4 vs IPv6 comparison;
    • Accessibility statement for Internet.nl;
    • Use IDNA2008.

  • Changes:

    • Minimum max-age for HSTS is now 1 year;
    • Accept all 3xx+3xx and 3xx+2xx DANE rollover schemes;
    • Ignore PKIX TLSA records for email test;
    • Make X-Frame-Options optional and no longer consider ALLOW-FROM as sufficiently secure.

  • Bugfixes:

    • Detect more ciphers that are available only with the modern openssl library;
    • Better exception handling for untrusted certificate in OCSP check;
    • Better exception handling for invalid IDNs.