Website testen met internet.nl

< Terug

De testtool Internet.nl is een initiatief van het Platform Internetstandaarden. Internet.nl is een testtool met als doel het internet toegankelijker, veiliger en betrouwbaarder te maken. Internet.nl test of je website aan moderne standaarden voldoet en geeft daarvoor een score van 0 tot 100%.  Het doel van deze test is niet perse om een 100% score te halen, maar om te bepalen waar je zelf, of wij als hostingprovider, instellingen kan verbeteren. Dit artikel geeft een overzicht van alle huidige testen.

De testen worden onderverdeeld in vier categoriën:

  • Bereikbaarheid via modern internetadres (IPv6)
  • DNSSec
  • Beveiliging van verbinding (HTTPS)
  • Applicatie beveiligingsopties.

Bereikbaarheid via modern internetadres (IPv6)

Dit onderdeel bestaat uit twee delen, de bereikbaarheid van de nameservers

  • Ipv6-adressen voor nameservers
  • Ipv6-bereikbaarheid van nameservers

Beide onderdelen zijn altijd correct geconfigureerd indien je gebruik gemaakt van de nameservers van Site4u.

  • IPv6-adressen voor webservers
  • IPv6-bereikbaarheid van webserver
  • Gelijke website op IPv6 en IPv4

Indien jouw website bij Site4u staat maar nog niet OK is op deze onderdelen kan je contact opnemen met onze helpdesk om dat in orde te maken. Nieuwe sites worden allemaal geconfigureerd met IPv4 én IPv6.

DNSSec

Alle nieuwe en verhuisde domein namen die op onze nameservers staan worden geconfigureerd met DNSSec. Indien je domeinnaam nog geen DNSSec heeft kunnen we dit direct voor je aanzetten.

Beveiliging van verbinding (HTTPS)

De beveiliging van je verbinding is een complex proces, wat op te delen is in de volgend onderdelen:

  • HTTP
  • TLS
  • Certificaat
  • DANE

HTTP

De HTTP checks zelf bestaat ook weer uit vier onderdelen:

  • HTTPS beschikbaarheid: alle systemen van Site4u zijn hiervan voorzien
  • HTTPS doorverwijzing: niet standaard aanwezig. Dit kan je zelf regelen via .htaccess op apache of je kan om een doorverwijzing vragen bij onze helpdesk
  • HTTP compressie. Deze staat standaard uit, omdat compressie gevoelig is voor aanvallen op je website
  • HSTS dwingt af dat je webbrowser direct HTTPS gebruikt. Dit maakt je site iets veiliger, maar het nadeel is dat het heel lang duurt voordat je een dergelijke check weer ongedaan maakt. Site4U zet dit alleen op verzoek van de klant aan.

TLS

Dit zorgt voor de versleuteling van je verbinding. De mogelijkheden zijn behoorlijk afhankelijk van de versie van het besturingssysteem op de webserver. Niet alle mogelijkheden zijn aanwezig op oudere besturingssystemen, waardoor je soms concessies zal moeten doen (of je systeem laten upgraden)

  • TLS: waar mogelijk activeren we alleen veilige TLS versies (1.2 en 1.3)
  • Ciphers (algoritmeselecties). Waar mogelijk activeren we alleen veilige ciphers.
  • Cipher volgorde: waar mogelijk dwingen we een eigen cipher volgorde af

Onderstaande eigenschappen worden indien noodzakelijk aangepast naar de meest recente inzichten op veiligheidsgebied

  • Sleuteluitwisselings parameters
  • Hasfunctie voor sleuteluitwisseling
  • TLS-compressie
  • Secure renegotiation
  • Client-initiated renegotiation
  • 0-RTT

Het laatste onderdeel is

  • OCSP stapling

Hiermee wordt de geldigheid van het certificaat getest. Dit levert in sommige gevallen vertraging in de eerste verbinding op, waardoor Site4U dit standaard niet aanzet voor websites. Enablen van OCSP stapling levert geen hogere score op bij internet.nl

Certificaat

  • Vertrouwensketen op certificaat
  • Publieke sleutel van certificaat
  • Handtekening van certificaat
  • Domeinnaam op certificaat

Bovenstaande tests gaan alleen goed als er een geldig certificaat op een server geinstalleerd is. Site4U kan een geldig certificaat voor je installeren. Afhankelijk van het type certificaat kunnen hier kosten mee gemoeid zijn.

DANE

  • DANE aanwezigheid
  • DANE geldigheid

DANE is een extra controle op je certificaat. Het test niet alleen OF je een certificaat geïnstalleerd hebt, maar ook of de fingerprint van je certificaat voldoet aan de waarde die je in een DNS TLSA record zet.  DANE is een relatief nieuwe ontwikkeling, die ervoor kan zorgen dat kwaadwillenden niet zomaar een certificaat kunnen installeren voor jouw domeinnaam.

Applicatie beveiligingsopties

  • X-Frame options
  • X-Content-Type-Options
  • X-XSS-Protection
  • Content-Security-Policy aanwezigheid
  • Referrer-Policy aanwezigheid

Er zien diverse opties beschikbaar om je applicatie veiliger te maken. Omdat de wensen per applicatie verschillend zullen zijn stellen wij deze niet default in. Indien je deze opties aan wil zetten kan je informatie inwinnen bij onze helpdesk.