STARTTLS en DANE
 ID: STARTTLS en DANE Type: Standaard |
STARTTLS in combinatie met DANE gaan het afluisteren of manipuleren van mailverkeer tegen. STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen. Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.
Het standaardprotocol voor het transport van e-mail, SMTP, werkt zowel over beveiligde als onbeveiligde verbindingen. Met de opkomst van cybercriminaliteit wordt het steeds belangrijker dat e-mailservers gebruikmaken van met certificaten beveiligde verbindingen voor het transport van mailberichten.
STARTTLS zorgt ervoor dat de verzendende e-mailserver en de ontvangende e-mailserver het eens worden over het gebruik van een met TLS beveiligde, dan wel een onbeveiligde verbinding. Als één van de partijen geen beveiligde verbinding accepteert, valt SMTP normaalgesproken terug op een onbeveiligde verbinding. Dit werkt afdoende tegen passieve aanvallers. Actieve aanvallers kunnen echter deze STARTTLS-onderhandeling manipuleren zodat een e-mail over een onbeveiligde verbinding wordt verstuurd. Vervolgens kunnen ze de e-mail onderscheppen met alle gevolgen van dien.
DANE, dat voortbouwt op DNSSEC, zorgt er in combinatie met STARTTLS voor dat een verzendende e-mailserver de authenticiteitEen kwaliteitsattribuut van een informatieobject. Het toont aan dat het informatieobject is wat het beweert te zijn, dat het is gemaakt of verzonden door de persoon of organisatie die beweert het te hebben gemaakt of verzonden en dat het is gemaakt en verzonden op het tijdstip als aangegeven bij het informatieobject.
van een ontvangende e-mailserver kan controleren en weet dat deze laaste e-mailserver slechts beveiligde verbindingen accepteert. Een actieve aanvaller kan daardoor niet langer de STARTTLS-onderhandeling manipuleren om een onbeveiligde verbinding te forceren.
Volledige namen: "SMTP Service Extension for Secure SMTP over Transport Layer Security" (STARTTLS) en "SMTP Security via Opportunistic DNS-Based Authentication of Named" (DANE)
Met de mailtest op Internet.nl kan iedereen eenvoudig testen of een ontvangende mailserver STARTTLS en DANE ondersteunt.
E-mails worden door de e-mailservervan de verzendende partij verstuurd naar de e-mailserver van de ontvangende partij met de SMTP-standaard. Oorspronkelijk gebeurt dit zonder enige versleuteling of beveiliging, waardoor het onderscheppen, aanpassen of injecteren van e-mail verkeer relatief eenvoudig is. STARTTLS maakt het mogelijk om SMTP-verkeer over een met TLS versleutelde verbinding te laten lopen. Hiervoor moeten zowel de verzendende e-mailserver als de ontvangende e-mailserver STARTTLS ondersteunen.
Wanneer STARTTLS door één van de servers niet wordt ondersteund of een versleutelde verbinding om een andere reden niet tot stand kan worden gebracht, valt STARTTLS terug op een niet-versleutelde verbinding. Dit voorkomt dat STARTTLS een negatieve invloed heeft op de aflevering van e-mails. Maar het geeft actieve aanvallers de mogelijkheid om het gebruik van STARTTLS te blokkeren waardoor de verbinding niet versleuteld wordt en het berichtenverkeer kan worden onderschept.
De toepassing van STARTTLS in combinatie met DANE zorgt ervoor dat de verzendende e-mail client zekerheid heeft dat hij met de juiste ontvangende e-mail server verbonden is, en dat de verbinding met TLS beveiligd is. DANE voorkomt aanvallen waarbij een aanvaller zich uitgeeft voor de ontvangende e-mail server en STARTTLS blokkeert om zo toegang tot de onversleutelde berichten te krijgen of berichten te vervalsen.
Waar toepasbaar
- Toepassingsgebied: Inkomende mailservers passen STARTTLS (SMTP over STARTTLS, oftewel ESMTPS) in combinatie met DANE toe, zodat verzendende mailservers daarmee een versleutelde verbinding over een onvertrouwd netwerk (zoals internet) kunnen opzetten. Dit voorkomt dat aanvallers het mailverkeer kunnen afluisteren (passieve aanvallers) en/of kunnen manipuleren (actieve aanvallers). Dit functioneel toepassingsgebiedDe omschrijving van het functionele gebruik van de voorziening geldt voor alle mailverbindingen buiten de (interne) infrastructuur die onder eigen beheer valt.
- Werkingsgebied: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector.
Meer informatie
specificatiedocument STARTTLES specificatiedocument DANE
- Beheerorganisatie: IETF
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg Uit
Toepassing in voorzieningen en bouwstenen
| Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
|---|---|---|---|---|---|
| BAG (Basisregistraties Adressen en Gebouwen) BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) |
STARTTLS is geïmplementeerd, maar DANE wordt na 8 september opgepakt, met verwachte implementatie per Q1 2018. (zie https://internet.nl/domain/www.kadaster.nl/87074) | gepland | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| BRT (Basisregistratie Topografie) | STARTTLS is al geïmplementeerd (zie https://internet.nl/domain/www.kadaster.nl/87074). DANE zal na 8 september opgepakt worden, met verwachte implementatie per Q1 2018. | gepland | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| BRV (Basisregistratie Voertuigen) | STARTTLS, DANE, DKIM en SPF (Sender Policy Framework) wordt bij de overgang naar Fujitsu voor alle DNS domeinen geïmplementeerd. Dit wordt voor 1 juli 2018 gerealiseerd. | gepland | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| DigiD | De mailserver van DigiD passen STARTTLS en DANE toe (zie https://www.internet.nl/mail/digid.nl/41975). | voldoet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Digilevering | Digilevering draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen. *)
|
voldoet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Digimelding | Digimelding draait op het Logius Managed Services platform.
Vanuit de VPC is het niet mogelijk mail direct naar buiten te sturen om te voorkomen dat de applicatiebeheerder of een van haar systemen als spam/malware verstuurder wordt aangemerkt. Alle mail-versturende systemen moeten gebruik maken van de centrale voorziening mail relay als zij mail willen versturen. *)
|
voldoet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Diginetwerk | Om STARTTLS/DANE op Diginetwerk te kunnen faciliteren dient de RijksDNS het DANE TLSA-record te ondersteunen. Dat is op dit moment nog niet het geval, maar ondersteuning voor het TLSA-record zal in 2017 gerealiseerd worden. Het gebruik van de standaard STARTTLS/DANE wordt bepaald door de toepassingen en niet door Diginetwerk. | gepland | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Digipoort | Zowel STARTTLS als DANE zijn beide ingericht. | voldoet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| MijnOverheid | Deze standaard relevant en wordt toegepast. | voldoet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| NHR (Basisregistratie Handelsregister) | De voorziening past alleen STARTTLS toe, DANE nog niet (zie https://internet.nl/mail/kvk.nl/34914). De planning is om HSTS Q4 2017 te gaan ondersteunen. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Ondernemersplein | Aan STARTTLS wordt voldaan, maar aan DANE wordt nog niet voldaan. De KvK geeft aan nog te moeten onderzoeken of hieraan voldaan zal worden. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Standard Business Reporting (SBR) | Aan STARTTLS wordt voldaan, door de voorziening. Aan DANE wordt nog niet voldaan, hiervoor is ook nog geen planning bekend omdat de SBR website hierbij afhankelijk is van de 'moederwebsite' www.logius.nl. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Stelsel Elektronische Toegangsdiensten | STARTTLS is geïmplementeerd voor eherkenning.nl en idensys.nl. De implementatie van DANE is nog onderwerp van onderzoek. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| DWR (Digitale Werkomgeving Rijksdienst) | De internet mailvoorziening werkt met STARTTLS. Implementatie van onder meer DANE is in onderzoek in het verlengde van het initiatief 'Veilige E-mail Coalitie'. DANE wordt niet meer in 2017 geimplementeerd, maar waarschijnlijk pas in 2018. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Overheid.nl | STARTTLS en DANE zijn geheel geïmplementeerd (zie https://internet.nl/mail/overheid.nl/34850). | voldoet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| Rijkspas | Rijkspas neemt email dienstverlening af van SSC-ICT, en vanuit deze leverancier is aangegeven de nog niet alle randvoorwaarden in plaats zijn voor deze standaard. Eén van deze randvoorwaarden is DNSSEC, waarvan de implementatie einde 2017 verwacht wordt. Na deze implementatie zal SSC-ICT opnieuw de mogelijkheden van STARTTLS en DANE analyseren. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
| TenderNed | STARTTLS wordt ondersteund. DANE nog niet. | voldoet niet | van toepassing | Monitor Open Standaardenbeleid 2017 | 8 maart 2018 |
Toelichting: Bouwstenen en gebruikte standaarden
