STARTTLS en DANE voor uitgaande mail verplicht voor overheidsorganisaties

De validatie van DANE voor uitgaande mail-berichten is eind 2018 toegevoegd aan de 'pas-toe-of-leg-uit'-lijst (ptolu) van het Forum Standaardisatie. Dat betekent dat (semi-)overheidsorganisaties nu min-of-meer verplicht zijn deze standaard te implementeren.Het drietal TLS/STARTTLS/DANE zorgt voor een veilige — dat wil zeggen cryptografisch beschermde — verbinding voor het transport van mail-berichten. Daarbij wordt voortgebouwd op de bestaande DNSSEC-infrastructuur. DNSSEC zelf stond al veel langer op de ptolu-lijst.

Vastpinnen TLS-certificaat

Veel SMTP-servers (MX gateways) bieden al de mogelijkheid tot het gebruik van TLS, dezelfde beveiliging als gebruikt bij HTTPS voor het web. Afleverende mail-systemen kunnen dan het STARTTLS-commando gebruiken om hun TCP-verbinding op te waarderen naar TLS. Omdat clients dit niet verplicht zijn en een man-in-the-middle de STARTTLS capability van een server makkelijk kan verstoppen voor de client (in een zogenaamde downgrade-aanval) is STARTTLS op zichzelf nog geen complete oplossing.

Door het TLS-certificaat van de mail service (op TCP-poort 25) vast te leggen (middels een hash) in een DNSSEC-beveiligd TLSA record weet een client zeker dat de betreffende server TLS ondersteunt.

Ondersteuning DANE-validatie

Inmiddels kan veel van de MTA software zo geconfigureerd worden dat deze DANE-validatie doet alvorens mail af te leveren bij een MX gateway. Om er een paar te noemen:

Sterk in opkomst

STARTTLS en DANE voor inkomende mail werden al in 2015 op de ptolu-lijst geplaatst. Omdat de ondersteuning voor uitgaande mail destijds nog beperkt was, is de verplichting voor DANE-validatie toen niet ingevoerd.

Op dit moment zien we dat het gebruik van DANE voor mail sterk in opkomst is [1, 2]. Volgens de TLSA-statistieken van SIDN Labs is de cryptografische verankering van het TLS-certificaat op de MX gateways in de .nl-zone het afgelopen half jaar grofweg verdubbeld. De implementatie van DANE door One.com, dat een ook een aanzienlijk aantal .nl-domeinen beheert, heeft daaraan een belangrijke bijdrage geleverd. TransIP configureerde al langer DANE voor de door hen beheerde domeinen.

Ondertussen heeft de registry voor het Zweedse .se-landendomein een financiële incentiveregeling opgezet voor DANE. Ook voor ons zou DANE op termijn zeker een kandidaat voor een dergelijke regeling kunnen zijn. Eerdere ervaringen met DNSSEC (ondertekening) hebben geleerd dat dit bijzonder goed werkt. In sectie 7 van onze eerdere IPv6-inventarisatie kun je lezen wat SIDN op dit moment aan incentive-regelingen voor de registrars heeft ingesteld.

SIDNLabs-TLSAstats-dec2018

Reacties

  • dinsdag 27 maart 2018

    SIDN Labs

    Het DNS onafhankelijk en stabiel houden

    Thumb-DNS

    Onderzoek naar concentratie binnen het DNS, de gevolgen en mogelijke oplossingen

    Lees meer
  • donderdag 28 december 2017

    SIDN Labs

    Onderzoek met Ripe Atlas naar TTL-schending in het DNS

    Thumb-red-card

    Schenden van TTL’s in het DNS is een controversieel onderwerp

    Lees meer
  • maandag 26 februari 2018

    SIDN Labs

    Anycastnetwerk van .nl verder uitgebreid

    Thumb-CIRA

    DNS-capaciteit .nl uitgebreid met dienst van Canadese registry

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.