DANE update: ondersteuning neemt snel toe

Gepubliceerd op 08-05-2017

DANE, een op DNSSEC gebaseerde standaard voor de beveiliging van web- en mail-verbindingen, is sterk in opkomst. Hieronder behandelen we het belangrijkste nieuws: NCSC adviseert het inschakelen van STARTTLS en DANE, en de ondersteuning van DANE groeit snel.

NCSC adviseert inschakelen STARTTLS en DANE

Het Nationaal Cyber Security centrum (NCSC) adviseert om STARTTLS en DANE in te schakelen, en op die manier het transport van mailberichten te beveiligen. Daartoe heeft deze organisatie de Factsheet 'Beveilig verbindingen van mailservers' gepubliceerd.

Het probleem met STARTTLS — technisch vergelijkbaar met de SSL/TLS-beveiligde verbindingen naar websites — is dat aanvallers deze optie eenvoudig kunnen blokkeren. Waar een gebruiker aan zijn browser kan zien dat de HTTP-verbinding niet veilig is (het slotje ontbreekt dan), heeft een mail-systeem niet die mogelijkheid om onveilige SMTP-verbindingen direct voor de gebruiker zichtbaar te maken. Het DANE-protocol — dat met de TLSA-records voortbouwt op DNSSEC — zorgt ervoor dat TLS niet omzeild kan worden. Daarmee is DANE een belangrijke toevoeging op de end-to-end versleuteling van mail (OpenPGP en S/MIME) en de bescherming tegen mail-malware (DKIM, SPF en DMARC). De meeste van deze standaarden staan dan ook op de 'Pas-toe-of-leg-uit'-lijst van het Forum Standaardisatie, waarmee ze voor overheidsorganisaties verplicht zijn. Andere organisaties hebben zich onlangs via de 'Veilige E-mail Coalitie' aan zes van deze standaarden gecommitteerd.

| - NCSC-Factsheet_Beveilig_verbindingen_van_mailservers-screenshot-600x512.png

DANE sterk in opkomst

Uit alle berichtgeving omtrent DANE blijkt dat deze standaard sowieso sterk in opkomst is. Zo is de DANE-functionaliteit in Postfix versie 3.2 verder uitgebreid en wordt op dit moment gewerkt aan de implementatie van DANE-validatie in IndiMail (qmail). De ondersteuning van DANE in OpenSSL heeft dit soort implementaties veel makkelijker gemaakt.

De Nederlandse Internet Service Provider TransIP heeft zijn domeinnamen in bulk van DANE voorzien en staat daarmee nu wereldwijd op de tweede plek. In dit overzicht staan ook bHosted, NederHost en BIT, andermaal bevestiging van de Nederlandse voortrekkersrol op dit gebied.

Terug naar het nieuwsoverzicht