STARTTLS en DANE voor uitgaande mail verplicht voor overheidsorganisaties

De validatie van DANE voor uitgaande mail-berichten is eind 2018 toegevoegd aan de 'pas-toe-of-leg-uit'-lijst (ptolu) van het Forum Standaardisatie. Dat betekent dat (semi-)overheidsorganisaties nu min-of-meer verplicht zijn deze standaard te implementeren.Het drietal TLS/STARTTLS/DANE zorgt voor een veilige — dat wil zeggen cryptografisch beschermde — verbinding voor het transport van mail-berichten. Daarbij wordt voortgebouwd op de bestaande DNSSEC-infrastructuur. DNSSEC zelf stond al veel langer op de ptolu-lijst.

Vastpinnen TLS-certificaat

Veel SMTP-servers (MX gateways) bieden al de mogelijkheid tot het gebruik van TLS, dezelfde beveiliging als gebruikt bij HTTPS voor het web. Afleverende mail-systemen kunnen dan het STARTTLS-commando gebruiken om hun TCP-verbinding op te waarderen naar TLS. Omdat clients dit niet verplicht zijn en een man-in-the-middle de STARTTLS capability van een server makkelijk kan verstoppen voor de client (in een zogenaamde downgrade-aanval) is STARTTLS op zichzelf nog geen complete oplossing.

Door het TLS-certificaat van de mail service (op TCP-poort 25) vast te leggen (middels een hash) in een DNSSEC-beveiligd TLSA record weet een client zeker dat de betreffende server TLS ondersteunt.

Ondersteuning DANE-validatie

Inmiddels kan veel van de MTA software zo geconfigureerd worden dat deze DANE-validatie doet alvorens mail af te leveren bij een MX gateway. Om er een paar te noemen:

Sterk in opkomst

STARTTLS en DANE voor inkomende mail werden al in 2015 op de ptolu-lijst geplaatst. Omdat de ondersteuning voor uitgaande mail destijds nog beperkt was, is de verplichting voor DANE-validatie toen niet ingevoerd.

Op dit moment zien we dat het gebruik van DANE voor mail sterk in opkomst is [1, 2]. Volgens de TLSA-statistieken van SIDN Labs is de cryptografische verankering van het TLS-certificaat op de MX gateways in de .nl-zone het afgelopen half jaar grofweg verdubbeld. De implementatie van DANE door One.com, dat een ook een aanzienlijk aantal .nl-domeinen beheert, heeft daaraan een belangrijke bijdrage geleverd. TransIP configureerde al langer DANE voor de door hen beheerde domeinen.

Ondertussen heeft de registry voor het Zweedse .se-landendomein een financiële incentive-regeling opgezet voor DANE. Ook voor ons zou DANE op termijn zeker een kandidaat voor een dergelijke regeling kunnen zijn. Eerdere ervaringen met DNSSEC (ondertekening) hebben geleerd dat dit bijzonder goed werkt. In sectie 7 van onze eerdere IPv6-inventarisatie kun je lezen wat SIDN op dit moment aan incentive-regelingen voor de registrars heeft ingesteld.

SIDNLabs-TLSAstats-dec2018

Reacties

  • dinsdag 26 maart 2019

    Veilig internet

    De eerste stap naar de adoptie van standaarden: weten of je eraan voldoet

    Thumb-icon-checklist

    Internet.nl stimuleert de adoptie van internetstandaarden

    Lees meer
  • dinsdag 19 maart 2019

    Over SIDN

    Vind jouw ideale .nl met onze nieuwe slimme suggestietool

    voorbeeld-suggestietool-thumbnail

    Meer dan 5 miljoen opties direct beschikbaar

    Lees meer
  • dinsdag 5 december 2017

    Veilig internet

    Online advertenties steeds vaker ingezet door internetcriminelen

    Thumb-hacker

    Bezoekers worden misleid met een valse domeinnaam

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.