Verbeterde testen voor CSP en security.txt op Internet.nl
Verbeterde CSP-test
In de testresultaten voor Content-Security-Policy (CSP) zijn specifieke foutmeldingen toegevoegd aan de technische details. Dit maakt het voor gebruikers duidelijker wat er niet goed is aan hun CSP-beleid en stelt hen in staat hun beleid veiliger te maken. Verder controleert de CSP-test nu ook op veilige configuratie van de directives voor base-uri
en form-action
. Volgens de CSP-specificatie worden beide directives niet afgedekt door het fallback-beleid van default-src
en is het dus van belang om ze expliciet te configureren.
security.txt- en TLS-test verbeteringen
Voor de security.txt-test zijn Nederlandse vertalingen toegevoegd, is de validatie-bibliotheek bijgewerkt, en zijn er verschillende bugfixes gedaan. Verder kunnen gebruikers in de test voor TLS-versie nu alle gedetecteerde TLS-versies zien. Dus, indien gedetecteerd, worden nu ook TLS-versie 1.2 en 1.3 met respectievelijk een 'voldoende' en 'goed' beveiligingsniveau getoond in de technische tabel van de test voor TLS-versie.
Over Internet.nl
De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.
Release notes 1.7.0
- Added specific error messages in the technical details for Content-Security-Policy results.
- Added requirements for base-uri and form-action to the Content-Security-Policy test.
- Added translations for security.txt error messages.
- The TLS versions tech table now shows the detected TLS versions instead of only TLS versions with issues.
- Fixed an uncaught exception in the security.txt text which could cause the entire test to fail for some HTTP responses.
- Corrected handling of bogus TLSA records.
- A bare "https:" is no longer allowed in Content-Security-Policy as it matches any HTTPS host.
- Loosened requirement for null MX when a domain has no A or AAAA.
- Fixed an issue where the frame-src test was inconsistent with the documentation.
- Added the version number to the footer.
- Added Sentry support for error reporting.
- Code quality was cleaned up in various places.
- Dependencies were updated.
- New content for extended tests and several other content improvements.
This release has API version 2.3.0:
- The
record_org_domain
was added for DMARC (#489). - The
securitytxt_errors
andsecuritytxt_recommendations
types were changed. They now contain error codes (and possibly context) rather than full sentences. - The
content_security_policy_errors
field was added with error codes for CSP. - An issue was fixed where the
mx_nameservers
field was not included in results (#882).