Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) werkt aan een set van minimumvereisten waar moderne browsers aan moeten voldoen om als veilig te worden bestempeld. Daarnaast vaardigt het richtlijnen uit voor de veilige configuratie van browsers binnen organisaties.
De richtlijnen worden momenteel nog uitgewerkt door het Duitse cyberveiligheidsagentschap en zullen worden gebruikt om zowel overheidsorganisaties als privébedrijven te adviseren in welke browsers veilig zijn om te gebruiken.
Een eerste versie van de richtlijnen werd al in 2017 gepubliceerd, maar wordt nu gemoderniseerd om nieuwere standaarden in rekening te nemen, die zorgen voor een verbeterde beveiliging. Denk bijvoorbeeld aan HTTP Strict Transport Security (HSTS), Subresource Integrity (SRI) en Content Security Policy Level 2 (CSP 2.0).
Meer dan 30 punten
De nieuwe draft beschrijft meer dan dertig punten waaraan een moderne browser moet voldoen om in de ogen van BSI voldoende veilig te zijn.
Naast het ondersteunen van voornoemde standaarden, gaat het onder meer om ondersteuning voor TLS en EV-certificaten (extended validation), het versleuteld bewaren van wachtwoorden, de mogelijkheid om cookies en geschiedenis te verwijderen, sandbox-ondersteuning, isolatie van webpagina’s en het afleveren van security-updates binnen 21 dagen nadat een lek publiek bekend werd gemaakt.
Eenmaal de draft afgewerkt en goedgekeurd is, zal BSI waarschijnlijk een document verspreiden waarin de belangrijkste browsers aan de verschillende vereisten worden getoetst. Dat deed het ook in 2017. Die lijst is nog steeds beschikbaar, al is hij ondertussen wel verouderd.
Veilige configuratie
Naast de richtlijn voor wat als een veilige browser mag worden beschouwd, deelt BSI ook een handleiding om browsers veilig te configureren. Een systeembeheerder kan die checklist gebruiken bij het uitrollen van een browser binnen de organisatie.
- De browser moet minstens TLS 1.2 of hoger ondersteunen.
- De systeembeheerder moet controleren of de lijst met root CA’s al dan niet moet worden beperkt.
- HSTS moet voor alle websites worden geactiveerd, al zijn uitzonderingen voor specifieke sites mogelijk.
- Cookies van derde partijen mogen niet worden toegestaan.
- Uitvoer van plug-ins zoals Flash of Java is alleen toegestaan na bevestiging door de gebruiker.
- Extended Media Extensions moeten worden uitgeschakeld als ze niet nodig zijn.
- Autocomplete moet worden uitgeschakeld.
- Het synchroniseren van data (cookies, geschiedenis, bladwijzers) naar externe opslagdiensten of locaties moet worden uitgeschakeld.
- Centraal beheerde instellingen en configuraties moeten worden beschermd van niet-geautoriseerde aanpassingen door gebruikers.
- Na het uitvoeren van browser-updates moet de beheerder nagaan of er veranderingen in de browserconfiguratie zijn opgetreden.