STARTTLS en DANE
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Starttls-en-dane
Beschrijving | |
---|---|
Status | |
Lijst status | Verplicht (pas toe leg uit) |
Functioneel toepassingsgebied | STARTTLS en DANE moeten in combinatie worden toegepast op ontvangende en verzendende e-mailservers. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-) publieke sector. |
Aanvullende verplichtingen | Voor STARTTLS en DANE heeft het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) een streefbeeldafspraak gemaakt, waarvan de voortgang ieder halfjaar wordt gemeten. |
Europese status (MSP) | Ja |
Nut en werking | |
Typering | |
Nut | Mailverkeer tussen mailservers verloopt via SMTP. STARTTLS in combinatie met DANE gaan, in aanvulling op SMTP, afluisteren of manipuleren van dit mailverkeer door internetcriminelen tegen. |
Werking | STARTTLS maakt het mogelijk om SMTP-verkeer tussen mailservers over een met TLS versleutelde verbinding te laten lopen. DANE, dat voortbouwt op DNSSEC, geeft zekerheid over de identiteit van de ontvangende mailserver. Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen. Daarnaast dwingt DANE het gebruik van TLS af. Dit voorkomt dat een aanvaller de opzet van STARTTLS kan blokkeren, om zo toegang tot de onversleutelde berichten te krijgen. |
Relatie met andere standaarden | |
Domein | |
Trefwoorden | Informatiebeveiliging, E-mail, Internet |
Gangbaar | |
Detailinformatie | |
Volledige naam | SMTP Service Extension for Secure SMTP over Transport Layer Security (STARTTLS) en SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) |
Versie | RFC 3207 en RFC 7672 |
Specificatiedocument | https://tools.ietf.org/html/rfc3207 , https://tools.ietf.org/html/rfc7672 , https://www.ncsc.nl/documenten/factsheets/2019/juni/01/factsheet-beveilig-verbindingen-van-mailservers |
Beheerorganisatie | IETF |
Community | DANE users mailinglist |
Hulpmiddelen | * Factsheet NCSC 'Beveilig verbindingen van mailservers'
|
Conformiteitstest | * Internet.nl |
Praktijkvoorbeelden | |
Toetsingsinformatie | |
Toelichting bij opname | Tijdens de procedure was er een nieuwe concept-standaard (SMTP MTA Strict Transport Security (MTA-STS)) gepubliceerd waarbij de grotere mail platformen betrokken zijn o.a. Gmail en Yahoo!). Deze standaard kan gezien worden als potentiële concurrent van DANE, maar is nog dermate prematuur dat het geen reden was om STARTTLS en DANE op de lijst op te nemen. Zie voor meer informatie het Aanvullend onderzoek SMTP STS .
STARTTLS en DANE werden in 2016 op de 'Pas toe of leg uit'-lijst geplaatst met verplichting voor ontvangende e-mail servers. Verplichting voor verzendende e-mail servers werd in 2016 prematuur geacht vanwege de nog weinig ontwikkelde marktondersteuning. In 2018 heeft het Forum Standaardisatie de marktondersteuning voor STARTTLS en DANE voor verzendende e-mail servers nogmaals getoetst. Op advies van het Forum Standaardisatie heeft het OBDO het functioneel toepassingsgebied van STARTTLS en DANE op 29 november 2018 uitgebreid naar ontvangende en verzendende e-mail servers. In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Deze baselines verplichten zodoende afgedwongen versleuteling van verbindingen zoals STARTTLS die in combinatie met DANE ondersteunt. Het Overheidsbrede Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [hhttps://www.forumstandaardisatie.nl/sites/default/files/FS/2018/0613/FS-20180613.02A-Agendapunt-4b.-Standaardisatie-van-het-Overheidsbrede-Overleg-Digitale-Overheid-van-24-mei-2018.pdf standaardsyntaxis] . |
Adoptieadviezen | Het Forum en Nationaal Beraad gaf in 2016 ten aanzien van de adoptie van STARTTLS en DANE de volgende adviezen:
Bij de uitbreiding van het functioneel toepassingsgebied in 2018 werden de volgende aanvullende adviezen gedaan:
|
Uitstekend beheer | Nee |
Documentatie | |
Datum van aanmelding | 2015-12-16 |
Datum van besluit | 2016-09-19 |
Overig | |
Waarvoor geldt de verplichting | |
Toelichting | |
Aandachtspunten | |
Advies aan beheerder | |
Sjabloon-bestektekst | |
CPV-code(s) | |
Leveranciers |
- 20160215-Expertadvies-STARTTLS-en-DANE-1.0.pdf (Expertadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/20160215-Expertadvies-STARTTLS-en-DANE-1.0.pdf,PDF Document)
- 20180803-Expertadvies-STARTTLS-en-DANE-itbreiding-functioneel-toepassingsgebied.pdf (Expertadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/20180803-Expertadvies-STARTTLS-en-DANE-itbreiding-functioneel-toepassingsgebied.pdf,PDF Document)
- Advies-Nationaal-Beraad-STARTTLS-en-DANE.pdf (Advies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/Advies-Nationaal-Beraad-STARTTLS-en-DANE.pdf,PDF Document)
- Commentaar uit de openbare consultatie uitbreiding functioneel toepassingsgebied STARTTLS en DANE.pdf (Consultatie,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/Commentaar uit de openbare consultatie uitbreiding functioneel toepassingsgebied STARTTLS en DANE.pdf,PDF Document)
- FS 151216.2C Intakeadvies DANE en StartTLS.pdf (Intakeadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/FS 151216.2C Intakeadvies DANE en StartTLS.pdf,PDF Document)
- FS 160420.2E Forumadvies 1 STARTTLS en DANE.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/FS 160420.2E Forumadvies 1 STARTTLS en DANE.pdf,PDF Document)
- FS 160608.3E Forumadvies 2 opname STARTTLS icm DANE.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/FS 160608.3E Forumadvies 2 opname STARTTLS icm DANE.pdf,PDF Document)
- FS 181010.3C Forumadvies uitbreiding toepassingsgebied STARTTLS en DANE.pdf (Forumadvies,https://www.forumstandaardisatie.nl/sites/default/files/Downloads/Bijlagen OS/STARTTLS en DANE/FS 181010.3C Forumadvies uitbreiding toepassingsgebied STARTTLS en DANE.pdf,PDF Document)