FS:STARTTLS en DANE

Uit NORA Online
Ga naar: navigatie, zoeken
Deze gegevens zijn overgenomen van de pagina forumstandaardisatie.nl/standaard/STARTTLS en DANE
Over de standaard
Beschrijving Beveiligd mailverkeer
Lijst status Verplicht (pas toe leg uit)
Uitleg
Nut STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.  Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten. 
STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding.  Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien. 

DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.
Werking Dit veld kan nog niet overgenomen worden van en DANE forumstandaardisatie.nl
Waarvoor geldt de verplichting
TrefwoordenBeveiliging, e-Mail, Internet
Detailinformatie
BeheerorganisatieIETF
Uitstekend beheer
Specificatiedocumenthttps://tools.ietf.org/html/rfc3207, https://tools.ietf.org/html/rfc7672
Volledige naam"SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
VersionRFC 3207 en RFC 7672
Inkoop
Aandachtspunten
Sjabloon-bestektekst
CPV-code(s)
Implementatie
Conformiteitstest Met de mailtest op Internet.nl kan iedereen eenvoudig testen of een ontvangende mailserver STARTTLS en DANE ondersteunt.
DomeinInternet & Beveiliging
Relatie met andere standaarden
  • TLS
  • DNSSEC
  • ToelichtingSTARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen. DANE maakt het voor de eigenaar van een domein mogelijk om via een met DNSSEC beveiligd DNS-record extra informatie bovenop de offline certificaten aan te reiken. Hierdoor kan real-time een controle worden gedaan op de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject. van de server en of de server-to-server-verbinding legitiem is en niet wordt gemanipuleerd. DANE is dan ook met name belangrijk tegen actieve aanvallers.
    Toetsingsinformatie
    Hulpmiddelen
    Functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende e-mailservers.
    Organisatorisch werkingsgebiedHet domein (organisatorisch, taakvelden) binnen de overheid waarin het element (principe, standaard, voorziening..) wordt of kan worden toegepast. Bijvoorbeeld: gemeenten, provincies, waterschappen, Rijk, zorginstellingen, primair onderwijs. Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
    Toelichting bij opname Nu richt het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening zich op inkomende mailservers. De implementatie van STARTTLS in combinatie met DANE is voor uitgaande mailservers ingewikkelder en vraagt meer inzet in tijd en middelen. Ook is er nog onvoldoende ervaring binnen de overheid met de implementatie van de standaarden voor uitgaande mail. Zondra er meer ervaring is opgedaan met implementatie van de standaard kan het toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening worden uitgebreid met uitgaande mailstromen. Geadviseerd wordt om dit een jaar na opname van de standaarden te toetsen in samenspraak met de expertgroep.

    In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Deze baselines verplichten zodoende afgedwongen versleuteling van verbindingen zoals STARTTLS die in combinatie met DANE ondersteunt.
    Tijdens de procedure was er een nieuwe concept-standaard (SMTP STS) gepubliceerd, waarbij de de grotere mail platformen betrokken zijn (o.a. Gmail en Yahoo!). Deze standaard kan gezien worden als potentiële concurrent van DANE, maar is nog dermate prematuur dat het geen reden was om STARTTLS en DANE op de lijst op te nemen. Het onderzoek naar SMTP STS is hieronder bij de documentatie te vinden.
    In 2017 besloot het Forum Standaardisatie een standaardsyntaxis toe te passen op de beschrijving van de functioneel toepassingsgebieden van standaarden op de ‘pas toe of leg uit’-lijst. Aan de hand van deze syntaxis werd het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening van deze standaard STARTTLS in combinatie met DANE aangepast. Dit is bekrachtigd door het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) op 25 mei 2018. Een toelichting treft u in dit document.

     
    Datum van aanmelding16-12-2015
    Datum van besluit19-09-2016
    Europese status (MSP)
    Documentatiehttps://www.forumstandaardisatie.nl/sites/bfs/files/20160215%20Expertadvies%20STARTTLS%20en%20DANE%201%200.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20151216.2C%20Intakeadvies%20DANE%20en%20StartTLS.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20160420.2E%20Forumadvies%201%20STARTTLS%20en%20DANE.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20160608.3E%20Forumadvies%202%20opname%20STARTTLS%20icm%20DANE.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/FS%20160608.3D%20Aanvullend%20onderzoek%20SMTP%20STS%201%200.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Advies%20Nationaal%20Beraad%20STARTTLS%20en%20DANE.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/Agp%204b-%20Hamerstuk%20Standaardisatie%20OBDO%2024%20mei%202018_14.pdf, https://www.forumstandaardisatie.nl/sites/bfs/files/20180803%20Expertadvies%20STARTTLS%20en%20DANE%20uitbreiding%20functioneel%20toepassingsgebied.pdf
    Forum-Adviezen
    Advies aan beheerder
    AdoptieadviezenHet Forum en Nationaal Beraad geeft ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:

    Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met andere e-mailstandaarden (zoals DKIM en SPF) beter inzichtelijk te maken.
    NCSC wordt opgeroepen om, in aanvulling op de whitepaper ‘ICT beveiligingsrichtlijnen voor Transport Layer Security (TLS)’, een advies uit te brengen over het implementeren van STARTTLS en DANE.
    Platform Internetstandaarden wordt opgeroepen om het advies van NCSC als uitgangspunt te hanteren in de e-mailtest op Internet.nl.
    Forum Standaardisatie wordt opgeroepen bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (SMTP, IMAP en POP3), aan te geven dat deze bij voorkeur met TLS beveiligd moeten worden.
    KING wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus.
    Forum Standaardisatie worden opgeroepen om met behulp van Internet.nl een overheidsbrede 0-meting te laten uitvoeren naar het gebruik van STARTTLS en DANE.
    De Shared Service Centra van het Rijk (zoals SSC-ICT en DICTU) worden opgeroepen om STARTLS en DANE te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken.
    Forum Standaardisatie wordt opgeroepen om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of het functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening ook moet worden uitgebreid tot uitgaande mailstromen.
    NCSC wordt opgeroepen de ontwikkelingen rondom de aanverwante concept-standaard SMTP STS in de gaten te houden en wanneer SMTP STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden.

     
    Leveranciers