STARTTLS en DANE voor uitgaande mail verplicht voor overheidsorganisaties

De validatie van DANE voor uitgaande mail-berichten is eind 2018 toegevoegd aan de 'pas-toe-of-leg-uit'-lijst (ptolu) van het Forum Standaardisatie. Dat betekent dat (semi-)overheidsorganisaties nu min-of-meer verplicht zijn deze standaard te implementeren.Het drietal TLS/STARTTLS/DANE zorgt voor een veilige — dat wil zeggen cryptografisch beschermde — verbinding voor het transport van mail-berichten. Daarbij wordt voortgebouwd op de bestaande DNSSEC-infrastructuur. DNSSEC zelf stond al veel langer op de ptolu-lijst.

Vastpinnen TLS-certificaat

Veel SMTP-servers (MX gateways) bieden al de mogelijkheid tot het gebruik van TLS, dezelfde beveiliging als gebruikt bij HTTPS voor het web. Afleverende mail-systemen kunnen dan het STARTTLS-commando gebruiken om hun TCP-verbinding op te waarderen naar TLS. Omdat clients dit niet verplicht zijn en een man-in-the-middle de STARTTLS capability van een server makkelijk kan verstoppen voor de client (in een zogenaamde downgrade-aanval) is STARTTLS op zichzelf nog geen complete oplossing.

Door het TLS-certificaat van de mail service (op TCP-poort 25) vast te leggen (middels een hash) in een DNSSEC-beveiligd TLSA record weet een client zeker dat de betreffende server TLS ondersteunt.

Ondersteuning DANE-validatie

Inmiddels kan veel van de MTA software zo geconfigureerd worden dat deze DANE-validatie doet alvorens mail af te leveren bij een MX gateway. Om er een paar te noemen:

Sterk in opkomst

STARTTLS en DANE voor inkomende mail werden al in 2015 op de ptolu-lijst geplaatst. Omdat de ondersteuning voor uitgaande mail destijds nog beperkt was, is de verplichting voor DANE-validatie toen niet ingevoerd.

Op dit moment zien we dat het gebruik van DANE voor mail sterk in opkomst is [1, 2]. Volgens de TLSA-statistieken van SIDN Labs is de cryptografische verankering van het TLS-certificaat op de MX gateways in de .nl-zone het afgelopen half jaar grofweg verdubbeld. De implementatie van DANE door One.com, dat een ook een aanzienlijk aantal .nl-domeinen beheert, heeft daaraan een belangrijke bijdrage geleverd. TransIP configureerde al langer DANE voor de door hen beheerde domeinen.

Ondertussen heeft de registry voor het Zweedse .se-landendomein een financiële incentive-regeling opgezet voor DANE. Ook voor ons zou DANE op termijn zeker een kandidaat voor een dergelijke regeling kunnen zijn. Eerdere ervaringen met DNSSEC (ondertekening) hebben geleerd dat dit bijzonder goed werkt. In sectie 7 van onze eerdere IPv6-inventarisatie kun je lezen wat SIDN op dit moment aan incentive-regelingen voor de registrars heeft ingesteld.

SIDNLabs-TLSAstats-dec2018

Reacties

  • maandag 29 oktober 2018

    SIDN Labs

    Naar geautomatiseerde DDoS-bescherming met MUD

    Thumb-IoT-mainboard

    Beperken van schaderisico door onveilige IoT-apparaten

    Lees meer
  • donderdag 20 december 2018

    SIDN Labs

    De SIDN Labs top 8 van 2018

    Thumb-calender-pages-2018-2019

    Werken aan het verder verhogen van de veiligheid en stabiliteit van .nl, het DNS en het internet

    Lees meer
  • donderdag 18 april 2019

    DNSSEC

    Root KSK roll-over uitgesteld

    Thumb-hourglass

    Beheerders van validerende resolvers dringend aangeraden om hun trust anchors op te waarderen

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.