Verbeterde testen voor CSP en security.txt op Internet.nl

11 april 2023

Vanaf vandaag kan je een nieuwe versie van Internet.nl gebruiken met een verbeterde test voor Content-Security-Policy en voor security.txt. Daarnaast zijn er diverse andere verbeteringen aangebracht, waaronder bugfixes, opruiming van code, updates van gebruikte externe softwarebibliotheken, en content-verbeteringen.

Verbeterde CSP-test

In de testresultaten voor Content-Security-Policy (CSP) zijn specifieke foutmeldingen toegevoegd aan de technische details. Dit maakt het voor gebruikers duidelijker wat er niet goed is aan hun CSP-beleid en stelt hen in staat hun beleid veiliger te maken. Verder controleert de CSP-test nu ook op veilige configuratie van de directives voor base-uri en form-action. Volgens de CSP-specificatie worden beide directives niet afgedekt door het fallback-beleid van default-src en is het dus van belang om ze expliciet te configureren.

security.txt- en TLS-test verbeteringen

Voor de security.txt-test zijn Nederlandse vertalingen toegevoegd, is de validatie-bibliotheek bijgewerkt, en zijn er verschillende bugfixes gedaan. Verder kunnen gebruikers in de test voor TLS-versie nu alle gedetecteerde TLS-versies zien. Dus, indien gedetecteerd, worden nu ook TLS-versie 1.2 en 1.3 met respectievelijk een 'voldoende' en 'goed' beveiligingsniveau getoond in de technische tabel van de test voor TLS-versie.

Over Internet.nl

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.

Release notes 1.7.0

Added specific error messages in the technical details for Content-Security-Policy results.
Added requirements for base-uri and form-action to the Content-Security-Policy test.
Added translations for security.txt error messages.
The TLS versions tech table now shows the detected TLS versions instead of only TLS versions with issues.
Fixed an uncaught exception in the security.txt text which could cause the entire test to fail for some HTTP responses.
Corrected handling of bogus TLSA records.
A bare "https:" is no longer allowed in Content-Security-Policy as it matches any HTTPS host.
Loosened requirement for null MX when a domain has no A or AAAA.
Fixed an issue where the frame-src test was inconsistent with the documentation.
Added the version number to the footer.
Added Sentry support for error reporting.
Code quality was cleaned up in various places.
Dependencies were updated.
New content for extended tests and several other content improvements.

This release has API version 2.3.0:

The record_org_domain was added for DMARC (#489).
The securitytxt_errors and securitytxt_recommendations types were changed. They now contain error codes (and possibly context) rather than full sentences.
The content_security_policy_errors field was added with error codes for CSP.
An issue was fixed where the mx_nameservers field was not included in results (#882).