Nieuws
image

Nederlandse domeinnamen koploper met gebruik van DANE-protocol

donderdag 7 oktober 2021, 16:28 door Redactie, 7 reacties

Nederlandse domeinnamen zijn wereldwijd koploper met het gebruik van DANE, een protocol voor het beveiligen van e-mail. Dat meldt Viktor Dukhovni, mede-auteur van het protocol. DANE staat voor DNS-based Authentication of Named Entities en zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.

Daarnaast geeft het zekerheid over de identiteit van de ontvangende mailserver. "Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen", aldus het Forum Standaardisatie. Volgens een telling van Dukhovni zijn er zo'n 700.000 .nl-domeinnamen waar DANE staat ingesteld. Daarmee is de .nl-zone nummer één wereldwijd. Het topleveldomein .com volgt met 411.000 domeinen op de tweede plek.

De groei van DANE vlakte dit jaar echter sterk af, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN). "Iets dat wij ons moeten aantrekken. Vanwege onze voortrekkersrol op gebied van DNSSEC – een harde vereiste voor de toepassing van DANE – nemen de .nl-domeinnamen en andere domeinnamen in beheer bij Nederlandse hosting providers ook het grootste aandeel in de DANE-beveiligde maildomeinen voor hun rekening."

Wereldwijd zijn er zo'n 2,8 miljoen maildomeinen van DANE voorzien. "Op een totaal van 16,2 miljoen domeinen waarvan de MX-records ondertekend zijn met DNSSEC, is dat zo'n 17 procent", laat de SIDN weten. De afvlakking van de groei komt mogelijk doordat de grotere mailhosters hun MX-gateways inmiddels van DANE-ondersteuning hebben voorzien en dat de kleinere operators moeite hebben om DANE te implementeren.

Image

Reacties (7)
07-10-2021, 17:02 door Anoniem
Volgens mij is het doel van DANE niet in de eerste plaats "een protocol voor het beveiligen van e-mail.", het is
meer bedoeld om te checken of je niet met een kwaadwillig uitgegeven certificaat te maken hebt.

Voor het doel wat hierboven beschreven wordt is er weer een andere stopgap, dat is MTA-STS.
Dat is niet heel breed uitgerold maar bijvoorbeeld Google gebruikt dat wel.
Het voordeel is dat je geen DNS updates hoeft te doen als je certificaat renewed is (met nieuwe key).
07-10-2021, 18:04 door Anoniem
Door Anoniem: Volgens mij is het doel van DANE niet in de eerste plaats "een protocol voor het beveiligen van e-mail.", het is
meer bedoeld om te checken of je niet met een kwaadwillig uitgegeven certificaat te maken hebt.

Voor het doel wat hierboven beschreven wordt is er weer een andere stopgap, dat is MTA-STS.
Dat is niet heel breed uitgerold maar bijvoorbeeld Google gebruikt dat wel.
Het voordeel is dat je geen DNS updates hoeft te doen als je certificaat renewed is (met nieuwe key).
DANE dwingt ook het gebruik van een beveiligde verbinding af, net zoals MTA-STS. In die zin zijn beide standaarden gelijkwaardig.

MTA-STS lijkt echter nooit van de grond gekomen te zijn. Buiten Google gebruikt niemand de standaard bij het verzenden van e-mails. Het aanbieden is wel eenvoudiger, zoals je zelf al schrijft. Maar beide kanten moeten ondersteuning bieden, en dat is met DANE wel weer makkelijker.
07-10-2021, 18:19 door Anoniem
MTA-STS is in alle aspecten een inferieur protocol t.o.v. DANE.
Zie dit artikel: https://www.isi.edu/~hardaker/news/2021-09-20-DANE-vs-STS.html
07-10-2021, 19:39 door Anoniem
Door Anoniem: MTA-STS is in alle aspecten een inferieur protocol t.o.v. DANE.
Zie dit artikel: https://www.isi.edu/~hardaker/news/2021-09-20-DANE-vs-STS.html
Ik ben het niet eens met dat artikel. MTA-STS kan prima gecombineerd worden met DNSSEC. Er wordt gedaan alsof
dat tegenpolen zijn maar dat is niet zo, de reden om MTA-STS te gebruiken ipv DANE hoeft niet te zijn dat je geen DNSSEC
hebt, maar kan net zo goed zijn dat je geen koppeling wilt of kunt maken tussen de uitgifte van je certificaten en de inhoud
van je DNS (bijvoorbeeld omdat je de certificaat renewal software om veiligheidsredenen geen API toegang tot je toplevel
domein DNS service wilt geven). Wil je in die omstandigheden DANE gebruiken dan ben je verplicht om de secret key
bij certificaat renewal onveranderd te laten, en dat wordt weer door andere artikelen afgeraden.
07-10-2021, 21:36 door Anoniem
Door Anoniem:Het voordeel is dat je geen DNS updates hoeft te doen

En het het nadeel is dat 'trust on first use' nodig is. Net als met HSTS voor web trouwens.
08-10-2021, 08:06 door Anoniem
Er zijn een aantal partijen, waaronder Microsoft, die deze grafieken zo zouden kunnen scheeftrekken (positief).

Als Office 365 inkomende mailservers het zouden gaan ondersteunen, wat volgens https://www.sidn.nl/en/news-and-blogs/microsoft-working-on-implementation-of-modern-internet-standards er gelukkig wel een keer aankomt (duurt wel nog even) zouden ineens heel veel bedrijven dat op orde hebben.

Misschien zou de overheid naar de 'pas toe of leg uit' lijst kunnen helpen door het simpelweg te verplichten als je iets levert aan NL/EU-bedrijven? Is met de GDPR ook prima gelukt, en lukt andere staten ook prima met b.v. opslag van data.
11-10-2021, 14:51 door Anoniem
Wel jammer dat Office 365 sinds april 2020 al roept om DANE en DNSSEC te gaan ondersteunen, maar dit nog steeds niet gebeurd is.

https://www.security.nl/posting/651391/Vertrouwelijkheid+overheidsmail+stap+dichterbij+door+DANE-support+Exchange+Online
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure