Federale instanties van de Amerikaanse overheid zijn verplicht om de beveiliging van hun webdiensten en e-mail aan te scherpen. Het ministerie van Binnenlandse Veiligheid (DHS) heeft namelijk de opdracht gegeven om standaarden voor het beveiligen van e-mail, zoals STARTTLS, SPF en DMARC, te implementeren en zwakke encryptie-algoritmen niet meer aan te bieden.
In het geval van webdiensten mogen die alleen nog via https beschikbaar zijn. Dat staat in een 'binding operational directive' (BOD) die voor alle federale instanties is aangekondigd. Dergelijke richtlijnen moeten verplicht worden opgevolgd. Binnen 90 dagen na het uitgeven van de richtlijnen moeten instanties hun servers zo hebben ingesteld dat die van STARTTLS gebruikmaken. STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.
Ook moeten in deze periode alle domeinen van instanties van geldige SPF/DMARC-records zijn voorzien. DMARC biedt volgens het ministerie de beste bescherming tegen gespoofte e-mails. Ongeauthenticeerde e-mails zullen in dit geval door de e-mailserver worden geweigerd, wat bijvoorbeeld phishingaanvallen moet voorkomen. Binnen 120 dagen moeten sslv2 en sslv3 en de encryptiealgoritmen 3DES en RC4 op mailservers van federale instanties zijn uitgeschakeld.
Op het gebied van webbeveiliging is 'https-only' met HSTS verplicht. HTTP Strict Transport Security (HSTS) zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd. Net als bij de mailservers mogen ook de webservers geen gebruik meer maken van sslv2, sslv3, 3DES en RC4. Federale instanties moeten het ministerie nu laten weten hoe ze de richtlijnen gaan invoeren, gevolgd door een rapport met de status. Deze rapporten moeten elke maand worden verstuurd totdat het invoeren van de richtlijn is voltooid.
Deze posting is gelocked. Reageren is niet meer mogelijk.