HTTPS

Uw website moet HTTPS aanbieden.

We testen of je website bereikbaar is via HTTPS. Als dat het geval is, dan testen we in de navolgende testonderdelen of HTTPS ook voldoende veilig is geconfigureerd. HTTPS garandeert de vertrouwelijkheid en integriteit van uitgewisselde informatie. Omdat het van de situatie afhangt hoe (privacy-)gevoelig en waardevol informatie is, een bezoeker van je website bepaalt hoe (privacy-) gevoelig en waardevol informatie is, is een veilige HTTPS-configuratie voor iedere website van belang. 

HTTPS afgedwongen

We testen of je webserver HTTPS afdwingt door een doorverwijzing (d.w.z. 301/302 redirect) van HTTP naar HTTPS op dezelfde domeinnaam, of door ondersteuning van alleen HTTPS. In geval van doorverwijzing moet een domein eerst zelf ‘upgraden’ door een redirect naar zijn HTTPS-versie voordat het eventueel doorverwijst naar een andere domeinnaam. Dit zorgt er ook voor dat een webbrowser de HSTS-policy kan accepteren.

HSTS

We testen of je webserver HSTS ondersteunt. HSTS dwingt af dat een webbrowser direct via HTTPS verbindt bij terugkerend bezoek. Dit helpt man-in-the-middle-aanvallen te voorkomen. Een HSTS-geldigheidsduur van tenminste zes maanden achten we voldoende veilig. Een lange geldigheidsduur heeft als voordeel dat ook infrequente bezoekers beschermd zijn.

HTTP-compressie

We testen of je webserver HTTP-compressie ondersteunt. HTTP-compressie maakt de beveiligde verbinding met je webserver kwetsbaar voor de BREACH-aanval. Het uitschakelen kan een negatieve invloed hebben op de prestaties van het systeem. Als je HTTP-compressie inzet, ga dan na of het mogelijk is maatregelen te treffen op applicatieniveau tegen de aanvalstechniek.