FS:Starttls-en-dane

Uit NORA Online
FS:Starttls-en-dane /
Versie door Jdirks2 (overleg | bijdragen) op 28 sep 2018 om 17:56 (Tekst vervangen - '{{FS-standaard' door '<!--TS:20180928000000-->{{FS-standaard')
Naar navigatie springen Naar zoeken springen
Exporteer naar RDF

Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Starttls-en-dane

Over de standaard
Lijst status
Beschrijving Beveiligd mailverkeer
Uitleg
Nut

STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.  Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.
Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten. 
STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding.  Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien. 

DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteit van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.
Werking Dit veld kan nog niet overgenomen worden van forumstandaardisatie.nl
Waarvoor geldt de verplichting
Aanvullende verplichtingen
Trefwoorden
Detailinformatie
Beheerorganisatie IETF
Uitstekend beheer
Specificatiedocument https://tools.ietf.org/html/rfc3207, https://tools.ietf.org/html/rfc7672
Volledige naam "SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
Versie RFC 3207 en RFC 7672
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest Met de mailtest op Internet.nl kan iedereen eenvoudig testen of een ontvangende mailserver STARTTLS en DANE ondersteunt.
Domein
Relatie met andere standaarden
    Toelichting
    Toetsingsinformatie
    Hulpmiddelen
    Functioneel toepassingsgebied STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende e-mailservers.
    Organisatorisch werkingsgebied Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
    Toelichting bij opname
    Datum van aanmelding
    Datum van besluit
    Europese status (MSP)
    Documentatie
      Forum-Adviezen
      Advies aan beheerder
      Adoptieadviezen

      Het Forum en Nationaal Beraad geeft ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:
      Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
      NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
      Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
      Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
      KING wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
      Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
      De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
      Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebied ook moet worden uitgebreid tot uitgaande mailstromen.
      NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard SMTP STS in de gaten te houden en wanneer SMTP STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.

       
      Leveranciers
      bijlagen:
      Copyright
      Door Forum Standaardisatie vrijgegeven onder Creative Commons zero

      Een kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.

      De omschrijving van het functionele gebruik van de voorziening

      Het domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs.

      Overgenomen van "https://www.noraonline.nl/index.php?title=FS:Starttls-en-dane&oldid=32322"