SIDN gaat adoptie van internetstandaard DANE stimuleren

In de 2e helft van dit jaar voegen we de internetstandaard DANE toe aan de Registrar Scorecard (RSC), onze incentiveregeling voor de .nl-registrars. Deze standaard wordt randvoorwaardelijk voor het behalen van de incentive voor STARTTLS. Waarom we dit doen en wat DANE is, lees je in deze blog post.

Gebruik van moderne internetstandaarden een must

Via de RSC willen we het gebruik van moderne internetstandaarden bevorderen. Zo is IPv6 nodig voor betere, duurzame bereikbaarheid op een almaar groeiend internet. En dragen andere, relatief nieuwe, standaarden bij aan de veiligheid en betrouwbaarheid van het internet.

Een bekend voorbeeld is natuurlijk DNSSEC. Daarmee wordt de naam/adres koppeling (het DNS) flink beveiligd, waardoor het koppelen van een naam aan een vervalst adres wordt tegengegaan. En omwille van veiliger e-mail stimuleren we ook de standaarden DMARC, SPF en DKIM. Deze helpen bij het tegengaan van phishing, een veelgebruikte vorm van misbruik op internet. We sluiten hiermee trouwens aan bij de zogenaamde ‘pas toe of leg uit’-lijst van de overheid en adviezen van het NCSC.

STARTTLS (en de tekortkomingen ervan)

Hoewel tegenwoordig misschien lastig voorstelbaar, ging lange tijd veel dataverkeer onversleuteld over het internet. De verschillende protocollen hadden dit simpelweg nog niet ingebouwd. Gelukkig is er veel verbeterd. Het onversleutelde web-protocol HTTP kreeg een versleutelde variant die we kennen als HTTPS, doormiddel van het toevoegen van ‘Transport Layer Security’ (TLS). Beter bekend als het (groene) slotje in de adresbalk van je browser.

Ook het e-mailprotocol SMTP was van origine niet versleuteld. E-mail ging, zoals dat heet, in ‘plain text’ over de lijn. Makkelijk om mee te kijken dus. Dat komt helaas nog steeds vrij veel voor, ook al bestaat er inmiddels een TLS-uitbreiding aan de standaard, genaamd STARTTLS. Ook het gebruik van STARTTLS stimuleren we daarom via de RSC. Bij STARTTLS moeten mailservers onderling overeenstemming bereiken over het gebruik ervan, wanneer ze een mail met elkaar willen gaan uitwisselen. Lukt dat, dan gaat de e-mail in principe versleuteld over de lijn.

Maar het oorspronkelijke STARTTLS-systeem is niet waterdicht. Een aanvaller kan gemakkelijk de conversatie over het al dan niet activeren van STARTTLS verstoren, zodat er geen overeenstemming tot stand kan worden gebracht. De mailservers vallen dan terug op de oude manier van onversleuteld communiceren. In een ander aanvalsscenario is er weliswaar sprake van een versleutelde verbinding, maar op basis van valse certificaten die door een aanvaller zijn geïnjecteerd, aangezien mailservers deze niet goed op echtheid controleren.

MTA-STS en DANE

Er zijn 2 protocollen die hier iets tegen doen, namelijk MTA-STS, dat nog in ontwikkeling is en de DANE-standaard. Deze MTA-STS-standaard in wording heeft wat weg van het bekendere HTST. Het kent ook eenzelfde nadeel; er is sprake van een ‘trust on first use’-principe. Dus de eerste keer dat er contact is mag er geen aanvaller actief zijn, omdat de communicatie in dat stadium nog kwetsbaar is. Pas daarna is deze beveiligd. DANE heeft het bovengenoemde probleem niet. Het is van meet af aan, dus al vanaf het allereerste contact, veilig. Temeer omdat DANE, in tegenstelling tot MTA-STS, stevig leunt op DNSSEC.

Het oorspronkelijke toepassingsgebied van DANE was extra beveiliging van websites. Maar daar bleek grootschalige adoptie vooralsnog lastig, met name omdat nog niet alle eindgebruikers achter een DNSSEC-validerende resolver zitten. Voor de beveiliging van STARTTLS bij e-mailservers is DANE gemakkelijker te realiseren en we zien daar dan ook een gezonde groei in de adoptie. De standaard staat op ook de ‘pas-toe-of-leg-uit’-lijst en wordt dan aanbevolen door het NCSC. Overheden zijn dan ook verplicht om het te gebruiken.

Met additionele DANE-bescherming is een STARTTLS-verbinding niet langer facultatief. Een domeinhouder kan middels DANE aangeven: “mijn mailserver spreekt STARTTLS en als jij dat ook kunt, dan moet je het gebruiken als je me mailt”. Een aanvaller kan een sessie tussen 2 mailservers dus niet meer zomaar ‘downgraden’ naar een niet-versleutelde verbinding. Dat is een forse stap voorwaarts in de beveiliging van e-mail en daarom voegen we DANE toe aan de lijst van de veilige, moderne standaarden die we via de RSC stimuleren en belonen.

Reacties

  • donderdag 21 maart 2019

    Nieuws

    Lancering .nl-suggestietool op KvK Startersdag

    vind+jouw+ideale+nl-thumbnail

    Met meer dan 5 miljoen mogelijkheden is dit dé tool om een nieuwe domeinnaam voor je onderneming te vinden

    Lees meer
  • donderdag 8 februari 2018

    Nieuws

    Nederlandse basisschoolleerling moet digitaal vaardiger worden

    Onderzoek-digitale-vaardigeheden-in-het-onderwijs-2018-homepage

    Les in digitale vaardigheden moet vast onderdeel onderwijs zijn volgens leraren en ouders

    Lees meer
  • vrijdag 22 februari 2019

    Weblog

    Hoe e-ID het Deense internet veiliger maakt

    Thumb-Danish-flag-waggling-in-the-wind

    Met e-ID’s cybercrime bestrijden

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.