Aantal met DANE beveiligde mail-domeinen groeit inmiddels exponentieel

Het aantal mail-domeinen dat is voorzien van een TLSA record groeit wereldwijd sinds een half jaar exponentieel. Nederland speelt in die ontwikkeling een belangrijke rol, zowel in de .nl-zone zelf als in het aantal hosting providers dat DANE voor mail implementeert.

Sterke groei wereldwijd

DANE voor mail heeft het afgelopen half jaar een enorme groei doorgemaakt. Volgens de laatste statistieken op DNSSEC-Tools zijn op dit moment bijna 1,1 miljoen domeinen van deze beveiligingstechnologie voorzien. Op een totaal van 9,4 miljoen top-level domeinen met DNSSEC-ondertekende MX records is dat 11,5 procent.

DNSSECtools-DANE-maart2019-1000x600

Kijken we naar het aantal mail gateways, dan zien we dat dit al jaren min-of-meer lineair groeit. Dat betekent dat de grote operators inmiddels bezig zijn om de door hun beheerde mail-domeinen in bulk van DANE te voorzien. Zo heeft One.com, dat ook een aanzienlijk aantal .nl-domeinen beheert, hieraan een belangrijke bijdrage geleverd. Hetzelfde geldt voor TransIP, dat al langer DANE voor de door hen beheerde domeinen configureert.

DNSSECtools-DANEgateways-maart2019-1000x600

Nederlandse registrars

Deze cijfers zijn afkomstig van Viktor Dukhovni — mede-auteur van de DANE-standaard zoals vastgelegd in RFC 7671 — die elke maand DANE-statistieken uit allerlei bronnen verzamelt en een overzicht daarvan rondstuurt. In zijn top 20 van DANE-beveiligde mail hosters zien we behoorlijk wat Nederlandse registrars staan.

682345 one.com
122842 transip.nl
97106 domeneshop.no
35828 active24.com
32803 vevida.com
24093 udmedia.de
16091 flexfilter.nl
12932 onebit.cz
11039 bhosted.nl
5992 netzone.ch
5657 previder.nl
3901 ips.nl
3535 interconnect.nl
2490 provalue.nl
2343 nederhost.nl
1646 nmugroup.com
1445 yourdomainprovider.net
1328 hi7.de
1308 xcellerate.nl
1307 prolocation.net

Nederlandse mail gateways

Kijken we naar de landen waar de DANE-beveiligde mail gateways zich bevinden, dan staat Nederland op de 3e plaats voor IPv4, en zelfs op de 2e plaats voor IPv6 (ondanks dat Nederland zich wat IPv6 betreft in een achterstandspositie bevindt).

IPv4 IPv6
totaal: 4977 1834
1680 DE, Germany 677 DE, Germany
1026 US, United States 309 NL, Netherlands
674 NL, Netherlands 221 FR, France
382 FR, France 170 US, United States
204 GB, United Kingdom 111 CZ, Czechia
170 CZ, Czechia 51 GB, United Kingdom
104 CA, Canada 40 SE, Sweden
80 SG, Singapore 27 RU, Russia
71 CH, Switzerland 27 CH, Switzerland
69 SE, Sweden 26 CA, Canada
48 DK, Denmark 20 AT, Austria
45 IE, Ireland 13 DK, Denmark
40 AU, Australia 12 IE, Ireland
39 AT, Austria 12 AU, Australia
38 BR, Brazil 11 NO, Norway
33 FI, Finland 10 FI, Finland
29 PL, Poland 10 BR, Brazil
25 RU, Russia 9 SI, Slovenia
21 JP, Japan 7 UA, Ukraine
18 IT, Italy 7 PL, Poland

Dat heeft ongetwijfeld te maken met de Nederlandse koppositie op gebied van DNSSEC-ondertekening (een voorwaarde voor het gebruik van DANE), met de relatief grote rol die Nederland speelt in de Europese internet-infrastructuur en hosting, en natuurlijk met het feit dat DANE ook voor uitgaande mail begin dit jaar door het Forum Standaardisatie op de pas-toe-of-leg-uit lijst is gezet. Anders dan in Zweden hebben wij voor de .nl zone geen incentive-regeling voor DANE, maar hier zijn wel plannen voor.

De .nl-zone

Dukhovni krijgt maar van een beperkt aantal registries (waaronder SIDN) cijfers over de adoptie van DANE voor mail in hun zone aangeleverd. Bovendien zitten er verschillen in de gebruikte meetmethoden. Voor de andere TLD's moet hij het doen met metingen gedaan door scanners (passief) en crawlers (actief). Dat maakt het lastig om landen onderling te vergelijken.

Over de situatie voor .nl kunnen wij vanzelfsprekend wel iets zeggen. Op de statistieken-site van SIDN Labs kun je zien hoe het aantal DANE-beveiligde mail-domeinen het afgelopen half jaar exponentieel is gegroeid tot 335 duizend eind februari. Die ontwikkeling sluit perfect aan bij de hierboven getoonde grafiek van DNSSEC-Tools voor de wereldwijde adoptie van DANE, en dat is natuurlijk ook niet verwonderlijk als je ziet dat .nl daarin een substantiële bijdrage levert.

SIDNLabs-DANEstats-20190327

Meetmethoden

Tegelijkertijd moeten we hierbij aantekenen dat wij voor deze grafiek weer een andere meetmethode gebruiken dan Dukhovni. Waar wij elke mail-domein dat één DANE-beveiligde MX gateway heeft meerekenen, telt hij alleen de domeinen mee waarvan alle primaire gateways een TLSA record hebben. Op die manier komt hij voor de .nl-zone op een getal van 226 duizend, en dat verschil geeft weer een indicatie van hoeveel domeinen alleen DANE op de fallback gateways hebben, waarschijnlijk die van hun service provider.

Ongeacht alle onderlinge verschillen in aanpak en meetmethode, is de trend echter duidelijk: sinds kort stijgt het aantal DANE-beveiligde mail-domeinen hard, en daarmee doet deze ontwikkeling erg denken aan de adoptie van DNSSEC-ondertekening een aantal jaar geleden.

Beveiliging control panels

Nieuwkomer in the DANE-statistieken is managed services provider Prolocation. Zij voorzagen de door hun beheerde domeinnamen (4.900 stuks) begin dit jaar van DANE. Volgens Raymond Dijkxhoorn, systeem/netwerkspecialist bij Prolocation, was dat voor hen relatief makkelijk om te doen. "Wij waren samen met SURFnet betrokken bij de ontwikkeling van de DANE-standaard destijds, dus we waren er vroeg bij. Omdat ons control panel daarbij werd gebruikt, hadden wij de provisioning van DANE als eerste live. En nu zijn we dus operationeel met een interface waarin de klant zijn gegevens voor DANE kan invoeren."

Directe aanleiding was de bouw van de website voor de One Conference, die natuurlijk 100% moest scoren op de tests van Internet.nl.

De opkomst van DANE voor het web laat volgens Dijkxhoorn nog wel even op zich wachten. "Daar mist een partij die aanvullende validatie doet zoals dat nu voor EV-certificaten gebeurt."

En voor de vervanging van de eenvoudige TLS-certificaten wordt nu veelal het gratis 'Let's Encrypt' ingezet. In zekere zin fungeert dit initiatief dus als rem op de introductie van het robuustere DANE voor het web in combinatie met self-signed certificaten. Bovendien zien klanten volgens Dijkxhoorn regelmatig over het hoofd dat de automatisering van de vereiste/afgedwongen updates van deze "gratis" certificaten aanzienlijk meer kost dan de incidentele aanschaf van een commercieel certificaat.

Als het gaat om de veiligheid zou Dijkxhoorn echter liever meer aandacht willen voor de beveiliging van control panels. "We zien veel hacks op de control panels van registrars, waarmee de cryptografische beveiliging simpelweg omzeild kan worden. Het zou goed als SIDN daar bijvoorbeeld richtlijnen voor zou ontwikkelen."

Reacties

  • donderdag 13 december 2018

    Kennis

    IDnext en SIDN verdiepen samenwerking

    Thumb-logo-IDnext

    Met gezamenlijk IDnext event willen organisaties een impuls geven aan innovatie op het gebied van digitale identiteiten

    Lees meer
  • donderdag 23 november 2017

    .nl-domeinnaam

    Whois Clearinghouse is dé oplossing voor botsing tussen GDPR en Whois

    Thumb-people-data-protection

    ICANN erkent dat de Whois moet veranderen

    Lees meer
  • dinsdag 22 mei 2018

    Over SIDN

    Minder gegevens particuliere houders zichtbaar in Whois

    nl-thumbnail_13

    Vanaf 1/3 is de naam van de houder niet zichtbaar.

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.