Geadviseerd wordt om STARTTLS en DANE in combinatie op te nemen op de lijst met open standaarden met de status pas toe of leg uit.

Vergelijkbare documenten
FORUM STANDAARDISATIE 20 april 2016 Agendapunt 2E. Forum-advies STARTTLS en DANE Stuknummer 2E Forum-advies STARTTLS en DANE

Stuurgroep Standaardisatie Datum: 13 mei 2016 Versie 1.0

Opname S/MIME 3.2 (standaard voor aanvullende beveiliging van ) op de lijst met open standaarden

FORUM STANDAARDISATIE

Opname TLS 1.2 op de lijst voor pas toe of leg uit. Stuurgroep Standaardisatie Datum: 2 april 2014 Versie 1.0

Forum Standaardisatie. Expertadvies STARTTLS en DANE. Datum 16 februari 2016

FORUM STANDAARDISATIE 11 oktober 2017

FS FORUM STANDAARDISATIE 8 juni 2016 Agendapunt 3. Open standaarden, lijsten Stuknummer 3. Oplegnotitie lijsten. Van: Aan: Bijlagen:

FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2: Open standaarden, lijsten Stuk 2A: Advies opname DMARC en SPF op de pas toe of leg uit -lijst

Opname WPA2-Enterprise op de lijst voor pas toe of leg uit

FORUM STANDAARDISATIE 11 oktober 2017

Opname NLCS (standaard voor de uniformering van bouwtekeningen) op de lijst met open standaarden

Opname NLCIUS (standaard voor e-factureren) op de lijst met open standaarden

Opname HTTPS & HSTS als verplichte standaard op de lijst met open standaarden

Opname COINS-standaard (uitwisselingsformaat voor bouwinformatie) op de lijst met open standaarden

Opname OAuth 2.0-standaard op de lijst met open standaarden. Opname OAuth 2.0-standaard op de lijst met open standaarden

Opname EPUB 3.0 op de lijst voor pas toe of leg. Stuurgroep Standaardisatie Datum: 3 april 2014 Versie 1.0

FORUM STANDAARDISATIE 11 oktober 2017

FS B FORUM STANDAARDISATIE 13 JUNI Advies. Agendapunt: 3B Betreft: Intake-advies voor TLS 1.3 Aan: Forum Standaardisatie Van:

FS E. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 3E Betreft: Intake-advies voor Grip op SSD Aan:

FS A. FORUM STANDAARDISATIE 16 december 2014 Agendapunt 5. Open standaarden, lijsten Stuknummer 5A. Intake-advies DMARC.

FORUM STANDAARDISATIE 28 oktober 2014 Agendapunt 04. Open standaarden, lijsten Stuk 04D. Forumadvies VISI 1.4

Aan: Forum Standaardisatie Van: Bureau Forum Standaardisatie Datum: 3 april 2018 Versie 1.0 Betreft:

Opname Digikoppeling 2.0 op de lijst voor pas toe of leg uit

Opname DKIM op de lijst voor pas toe of leg uit. Datum: 23 mei 2012 Versie 1.0

Forum Standaardisatie. Samenvatting expertadvies DANE. Datum 12 februari 2014

Halfjaarlijkse meting Informatieveiligheidsstandaarden BFS Begin 2017

Forum Standaardisatie. Consultatiedocument SIKB0101. Datum 13 februari 2012

FS FORUM STANDAARDISATIE 22 april 2015 Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

FS FORUM STANDAARDISATIE 08 maart Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

Opname PDF/A-2 op de lijst voor pas toe of leg uit. Datum: 23 mei 2012 Versie 1.0

Opname geo-standaarden op de lijst voor pas toe of leg uit en status uitstekend beheer. Forum Standaardisatie Stuurgroep Standaardisatie

Beveilig verbindingen van mailservers

Forum Standaardisatie. Expertadvies DMARC. Datum 12 februari 2015

Intentieverklaring Veilige Coalitie

Expertadvies functioneel toepassingsgebieden internet veiligheidstandaarden

Forum Standaardisatie. Expertadvies functioneel toepassingsgebieden internet- en beveiligingsstandaarden

FS B. Pagina 1 van 7

Opname DNSSEC op de lijst voor pas toe of leg uit. Datum: 10 april 2012 Versie 1.0

Gevraagd besluit Aan het Forum wordt gevraagd om in te stemmen met het advies om aan het OBDO de volgende punten voor te leggen:

Forum Standaardisatie. Expertadvies S/MIME 3.2. Datum 22 februari 2018

Expertadvies OpenAPI Specification-standaard (OAS) en overzicht reacties consultatieronde Aan:

FS FORUM STANDAARDISATIE 19 oktober 2016 Agendapunt 4. Open standaarden, adoptie Stuknummer 4. Oplegnotitie adoptie

Forum Standaardisatie. Consultatiedocument IFC. Datum 5 augustus 2011

FORUM STANDAARDISATIE 10 oktober 2018 Agendapunt 3A - Plaatsing TLS 1.3 op pas-toe-of-leg-uit lijst

VIAG THEMADAG State of the art internet beveiliging

Het Forum Standaardisatie wordt geadviseerd om de aangemelde standaard Kerberos niet in behandeling te nemen voor opname op de lijst.

8. Status aanvullend expertonderzoek CMIS (contentmanagement systeem standaard)

Aanmelding TLS 1.3 voor de pas toe of leg uit -lijst

Stuurgroep open standaarden Datum: 6 juni 2011 Versie 1.0 Stand van zaken Open standaarden

Opname DNSSEC op de lijst voor pas toe of leg uit. Datum: 23 mei 2012 Versie 1.0

Expertonderzoek HTTPS en HSTS

Agendapunt: 3A Expertadvies NLRS-standaard en overzicht reacties consultatieronde. Stuurgroep Standaardisatie Datum: 20 november 2017 Versie 1.

Reacties uit de openbare consultatie STARTTLS en DANE (uitbreiding functioneel toepassingsgebied)

Forum Standaardisatie. Wilhelmina van Pruisenweg AN Den Haag. Postbus JE Den Haag.

Forum Standaardisatie. Wilhelmina van Pruisenweg AN Den Haag. Postbus JE Den Haag.

FS C. FORUM STANDAARDISATIE 13 december Advies. Agendapunt: 4C Betreft: Concept intake-advies voor NLCIUS Aan:

Opname SIKB0102 standaard op de lijst van open standaarden.

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Stuurgroep open standaarden Datum: 22 augustus 2012 Versie 1.0

FORUM STANDAARDISATIE

Halfjaarlijkse meting Informatieveiligheidstandaarden Forum Standaardisatie. = Begin 2018 =

FS A. Advies. Pagina 1 van7

Bijlage FS B1: NB-domeinen zonder gemeenten Bijlage FS B2: gemeentedomeinen

Opname STOSAG op de lijst voor pas toe of leg uit

Opname eherkenning op de lijst voor. Datum: 26 oktober 2012 Versie 0.9

ICT en Overheid The Next Generation Internet must be Safe

Doel. Agendapunt: 4. Lijst open standaarden. Stuurgroep open standaarden Datum: Versie 1.0 Stand van zaken Open standaarden

Forum Standaardisatie. Consultatiedocument <project>

Forum Standaardisatie. Consultatiedocument IPv6. Datum 6 augustus 2010

FORUM STANDAARDISATIE

Aanmelding van een nieuwe standaard voor de pas toe of leg uit -lijst

Forum Standaardisatie. Expertadvies TLS 1.3. Datum 3 augustus 2018

FS C. FORUM STANDAARDISATIE 16 december 2014 Agendapunt 5. Open standaarden, lijsten Stuknummer 5C. Intake-advies Digikoppeling 3.0.

FS A. Forum Standaardisatie. Adoptieadvies DNSSEC

Colofon. Forum Standaardisatie. Expertadvies NEN-ISO/IEC 27001:2013 en 27002:2013. Datum 9 februari 2015

A. Expertadvies adoptie-evaluatie SAML B. Notitie van eid over verwerking adviespunten C. Opzet monitor open standaarden-beleid 2014

Advies opname IFC op de lijst voor pas-toe-of-leg-uit

COLLEGE STANDAARDISATIE CS B

Opname CMIS op de lijst voor pas toe of leg uit

FS D. FORUM STANDAARDISATIE 16 december 2014 Agendapunt 5. Open standaarden, lijsten Stuknummer 5D. Intake-advies OSI.

Aanmelding van een nieuwe standaard voor de pas toe of leg uit -lijst

Stuurgroep open standaarden Datum: 22 augustus 2013 Versie 1.0 Update status van opvolging College-adviezen per standaard

Stuurgroep open standaarden Datum: 1 oktober 2010 Versie 0.2 Stand van zaken Open standaarden

Nu niet opnemen van Dutch Revit Standards op de lijst voor aanbevolen

FS A FORUM STANDAARDISATIE. Advies. Agendapunt: FS A Intake-advies voor STIX en TAXII. Stuurgroep open standaarden Datum: 24 mei 2017

FS B. FORUM STANDAARDISATIE 13 december Agendapunt 4. Open standaarden, adoptie Stuknummer 4B: Notitie monitor 2017, duiding en acties

FS FORUM STANDAARDISATIE 16 december 2014 Agendapunt 6. Open standaarden, adoptie Stuk 6. Oplegnotitie

Forum Standaardisatie. Aanvullend onderzoek beoordeling SPF bij Forumadvies DMARC en SPF addendum bij Forumadvies DMARC en SPF. Datum 29 april 2015

notitie FORUM STANDAARDISATIE 12 december 2018 Agendapunt 3 Open Standaarden, lijsten Samenvatting Ter besluitvorming Ter kennisname

Advies voor het plaatsen van nieuwe versies van de standaarden SETU en Semantisch Model e-factuur op de pas toe of leg uit -lijst

Concept Agendapunt: 06 Lijsten met open standaarden Bijlagen: College Standaardisatie

14. FS FORUM STANDAARDISATIE 28 oktober 2014 Agendapunt 05. Open standaarden, adoptie Stuk 05. Oplegnotitie. Bijlagen:

FORUM STANDAARDISATIE 11 oktober 2017

FS FORUM STANDAARDISATIE 28 oktober 2015 Agendapunt 2. Open standaarden, lijsten Stuknummer 2. Oplegnotitie lijsten

FORUM STANDAARDISATIE 10 juni 2015 Agendapunt 2. Open standaarden, lijsten Stuk 2D Intake-advies voor Dutch Revit Standard (DRS)

AdES Baseline Profiles-standaard en overzicht reacties consultatieronde

Moderne standaarden Veiliger

Transcriptie:

FS 160608.3E Forum Standaardisatie www.forumstandaardisatie.nl forumstandaardisatie@logius.nl Bureau Forum Standaardisatie gehuisvest bij Logius Postadres Postbus 96810 2509 JE Den Haag Bezoekadres Wilhelmina van Pruisenweg 52 FORUM STANDAARDISATIE 2595 AN Den Haag Bij bezoek aan Logius is legitimatie verplicht Agendapunt: FS 160608.3E Betreft: Opname STARTTLS en DANE op de lijst met open standaarden Aan: Forum Standaardisatie Van: Stuurgroep Standaardisatie Datum: Versie 1.0 Aanleiding en achtergrond STARTTLS en DANE zijn (e-mail)beveiligingsstandaarden die kunnen worden gebruikt om een beveiligde verbinding tussen mailservers op te zetten. STARTTLS zorgt er voor dat een niet-versleutelde, en daarmee onbeveiligde, SMTP-verbinding geüpgrade wordt naar een versleutelde TLS-verbinding. De toepassing van DANE zorgt er voor dat een verbinding pas tot stand wordt gebracht wanneer het DNS-record van de ontvangende mailserver is gecontroleerd door de verzendende mailserver. Hierdoor is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren. Gebruikers van STARTTLS en DANE moeten de verbinding verbreken wanneer er geen beveiligde verbinding via STARTTLS opgezet kan worden, maar deze wel aanwezig is volgens het DNS-records. Geadviseerd wordt om STARTTLS en DANE in combinatie op te nemen op de lijst met open standaarden met de status pas toe of leg uit. Betrokkenen en proces In eerste instantie is alleen DANE aangemeld voor opname op de lijst met open standaarden. Tijdens het intakegesprek is naar voren gekomen dat DANE in toenemende mate wordt toegepast met STARTTLS om een beveiligde verbinding tussen mailservers op te kunnen zetten. Daarom is besloten om STARTTLS samen met DANE in behandeling te nemen. Vervolgens heeft een expertbijeenkomst plaatsgevonden op 28 januari 2016. De conclusie van de expertgroep was om STARTTLS en DANE op te Pagina 1 van 9

nemen op de lijst met open standaarden, onder voorwaarde dat er binnen het organisatorisch werkingsgebied tenminste twee organisaties de standaarden succesvol hebben geïmplementeerd. Naar aanleiding hiervan is een meting op gebruik uitgevoerd, waaruit bleek dat aan deze voorwaarde is voldaan. Tijdens de openbare consultatie van het expertadvies van 16 februari tot 16 maart 2016 is één reactie ontvangen. Wel is tijdens de openbare consultatie een nieuwe soortgelijke standaard (SMTP STS) gepubliceerd ondersteund door de grotere mail platformen (Gmail, Yahoo, Microsoft). In samenspraak met de experts en het Forum is toen besloten om hier een aanvullend onderzoek naar te doen. Consequenties en vervolgstappen Het gebruik van de standaarden is binnen het geadviseerde organisatorische werkingsgebied nog beperkt, met name waar het DANE betreft. Wel zijn er verschillende overheidsorganisaties die de standaarden ondersteunen zo heeft het Nationaal Cyber Security Center (NCSC) de standaarden onlangs succesvol geïmplementeerd. Ook zijn er positieve signalen bij andere overheidspartijen om de standaarden op korte termijn in gebruik te nemen. Daarnaast is het mogelijk om de implementatie van de standaarden te toetsen via Internet.nl. Verder is de opname van STARTTLS en DANE een positieve impuls voor de adoptie van DNSSEC omdat de standaarden verplicht gebruik maken van DNSSEC. Gezien de recente ontwikkeling met betrekking tot SMTP STS is het belangrijk om zicht te houden op het gebruik van de standaarden bij de grote mailplatformen. En de ontwikkeling rondom SMTP STS goed te volgen. Verder zijn er enkele adviezen om de adoptie van de standaard te bevorderen. Deze staan in onderstaand advies. Gevraagd besluit Het Forum Standaardisatie wordt gevraagd om in te stemmen met onderstaande advies. Het Forum Standaardisatie adviseert het Nationaal Beraad Digitale Overheid om: 1. STARTTLS en DANE op te nemen als pas toe of leg uit -standaard op de lijst met open standaarden voor het hieronder geformuleerde toepassings- en werkingsgebied. 2. In te stemmen met de additionele adviezen ten aanzien van de adoptie van STARTTLS en DANE, zoals hieronder geformuleerd. Pagina 2 van 9

Ad 1 Opname van STARTTLS en DANE op de lijst met open standaarden Geadviseerd wordt op de combinatie STARTTLS en DANE als zodanig op te nemen op de pas toe of leg uit -lijst. Opname is wenselijk omdat op dit moment het gecombineerd gebruik van de standaarden voor e-mail nog beperkt is. STARTTLS als zodanig wordt wel veel gebruikt, maar alleen een gecombineerd opname is wenselijk voor veilige mailuitwisseling omdat STARTTLS gevoelig is voor man in the middle aanvallen. DANE voorkomt dit omdat het zorgt voor het veilig opstarten van e-mailverbindingen en zorgt er dus voor dat de organisaties in het werkingsgebied veilig kunnen mailen. Er zijn positieve signalen over toekomstig gebruik. Zo heeft ten tijde van het opstellen van dit Forumadvies het NCSC de standaarden succesvol geïmplementeerd op alle inkomende mailservers. En vanuit het platform Internet.nl is een meting uitgevoerd naar het gebruik van onder overheidsorganisaties. Deze meting kan gebruikt worden om toekomstige adoptie te monitoren. Als functioneel toepassingsgebied voor STARTTLS en DANE wordt geadviseerd: Inkomende mailservers passen STARTTLS (SMTP over STARTTLS, oftewel ESMTPS) in combinatie met DANE toe, zodat verzendende mailservers daarmee een versleutelde verbinding over een onvertrouwd netwerk (zoals internet) kunnen opzetten. Dit voorkomt dat aanvallers het mailverkeer kunnen afluisteren (passievee aanvallers) en/of kunnen manipuleren (actieve aanvallers). 1 Figuur 1. Geadviseerd functioneel toepassingsgebied Het toepassingsgebied geldt voor alle mailverbindingen buiten de eigen (besloten) infrastructuur. Met andere woorden: de communicatie met mailservers buiten de eigen invloedssfeer. Ook betreft de toepassing vooralsnog inkomende mailservers. De implementatie van STARTTLSS in combinatie met DANE is voor uitgaande mailservers ingewikkelder en vraagt meer inzet in tijd en middelen. Ook is er nog onvoldoende ervaring binnen de overheid met de implementatie van de standaarden voor uitgaande mail. Zodra er meer ervaring is opgedaan met implementatie van de standaard kan het toepassingsgebied worden uitgebreid met uitgaande mailstromen. Geadviseerd wordt om dit een jaar na opname van de standaarden te toetsen in samenspraak met de expertgroep. Als organisatorisch werkingsgebied van STARTTLS en DANE wordt geadviseerd: Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi)publiekee sector.

In diverse baselines zoals de Baseline Informatiebeveiliging Rijksdienst (BIR), Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Baseline Informatiebeveiliging waterschappen (BIWA) is opgenomen dat persoonsgegevens niet onversleuteld over onbeveiligde/onvertrouwde netwerken verzonden mogen worden. Het gebruik van geforceerde encryptie wordt zodoende ook afgedwongen door deze baselines. Ad 2 Additionele adviezen ten aanzien van de adoptie van STARTTLS en DANE Naar aanleiding van de expertgroep en het aanvullend onderzoek zijn er voor het Forum en het Nationaal Beraad bij opname op de lijst met open standaarden de volgende oproepen ten aanzien van de adoptie van de standaarden: 1. Het Forum Standaardisatie wordt opgeroepen om een infographic over e-mailbeveiligingsstandaarden op te stellen om zodoende de relatie met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven. 2. NCSC wordt opgeroepen om, in aanvulling op de whitepaper ICTbeveiligingsrichtlijnen voor Transport Layer Security (TLS), een factsheet uit te brengen over het implementeren van STARTTLS en DANE. Dit dient Internet.nl vervolgens ook als uitgangspunt te nemen in hun metingen. 3. Het Forum Standaardisatie wijst er bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (POP, IMAP, SMTP) op dat deze bij voorkeur met TLS beveiligd moeten worden. 4. KING wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen in de GEMMA Softwarecatalogus. 5. Forum/Nationaal Beraad een 0-meting laten uitvoeren naar gebruik van de standaarden. 6. De Shared Service Centra van het Rijk ( zoals SSC-ICT / DICTU) op te roepen de standaard te implementeren en hen hierop via ICCIO of CTO-raad aan te spreken. 7. Om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of de standaard ook verplicht moet worden voor de uitgaande mailstromen. 8. De ontwikkelingen rondom SMTP STS in de gaten te houden en wanneer SMTP STS een ontwikkelde standaard is de relatie tussen de standaarden opnieuw te duiden. Het advies is dan ook om deze ontwikkeling nauw te volgen en waar mogelijk te participeren in de doorontwikkeling van de standaard. De aangewezen partij hiervoor is het NCSC, conform haar Cyber Security strategie 2. 2 https://www.ncsc.nl/english/current-topics/national-cyber-security-strategy.html Pagina 4 van 9

Toelichting 1. Waar gaat het inhoudelijk over? Met de toenemende digitalisering is ook het beveiligingsrisico aanzienlijk toegenomen. De overheid gebruikt gevoelige informatie van zowel burgers als bedrijven. Ook maakt de overheid veel gebruik van e-mail en verstuurt en ontvangt zij e-mails van andere overheden, bedrijven en burgers mét gevoelige informatie. Dit vraagt om aandacht voor de dreiging van digitale (economische) spionage en identiteitsdiefstal. Zonder adequate beveiligingsmaatregelen kan in een kort tijdsbestek een grote hoeveelheid aan informatie op de facto anonieme wijze worden verzameld. Informatie kan worden geblokkeerd en onder bepaalde voorwaarden worden aangepast en vervalst. De Nederlandse overheid heeft vanuit haar rol de taak en verplichting om (toevertrouwde) vertrouwelijke informatie te beschermen tegen afluisteren door aanvallers, zoals criminele partijen en statelijke actoren. Onder de te beschermen informatiestromen valt feitelijk ook communicatie tussen overheidspartijen, tussen de overheid en bedrijven en tussen overheden en burgers. STARTTLS E-mails worden door de mailserver van de verzendende partij verstuurd naar de mailserver van de ontvangende partij. Historisch gebeurt dit zonder enige versleuteling of beveiliging, waardoor het aanpassen of injecteren van mailverkeer relatief eenvoudig is. De extensie STARTTLS is in veel gevallen aanwezig op beide mailservers. Zij kunnen daarmee een niet-versleutelde en daarmee onbeveiligde verbinding opwaarderen naar een met TLS versleutelde verbinding. Met een met TLS versleutelde verbinding wordt voorkomen dat een passieve aanvaller het berichtenverkeer kan afluisteren. Let op: een passieve aanvaller is een aanvaller die het berichtenverkeer niet manipuleert, maar slechts ongemerkt onderschept. Het gaat hier bijvoorbeeld om e-mails met gevoelige informatie of e-mails waarbij documenten mee zijn gestuurd. Om STARTTLS in werking te laten treden is het noodzakelijk dat zowel de verzendende als de ontvangende mailserver STARTTLS ondersteunen. Wanneer STARTTLS door een van de servers niet wordt ondersteund of een versleutelde verbinding om een andere reden niet tot stand kan worden gebracht, wordt automatisch teruggevallen op een niet-versleutelde verbinding. Dit wordt opportunistische encryptie genoemd. Door het terugvallen op een onbeveiligde verbinding wordt voorkomen dat de leveringszekerheid kleiner zou worden bij de toepassing van STARTTLS. Dit is echter een groot nadeel voor de vertrouwelijkheid en integriteit van e-mailverkeer. Een actieve aanvaller kan het gebruik van STARTTLS eenvoudig blokkeren, een zogeheten STRIPTLS- aanval. Een actieve aanvaller manipuleert hiermee het berichtenverkeer. Het tot stand brengen van een beveiligde TLS-verbinding met STARTTLS gebeurt immers via een niet-versleutelde verbinding. Door in het eerste stadium het aanbod van een versleutelde verbinding te blokkeren, gaat de verzendende server er vanuit dat TLS niet beschikbaar is. De verzendende server kiest er dan voor om door te gaan met de niet-versleutelde verbinding. Door deze manipulatie van het berichtenverkeer is het voor de actieve aanvaller mogelijk om Pagina 5 van 9

de verbinding af te luisteren en e-mails te lezen. Recent onderzoek heeft aangetoond dat dergelijke aanvallen wereldwijd op grote schaal plaatsvinden 3. DANE Bij het maken van een veilige verbinding naar een onbekende partij is een online controle op de authenticiteit van de verzendende partij en de eindbestemming wenselijk. Dit kan door middel van (gepubliceerde) certificaten die door certificaatautoriteiten (CA s) binnen het PKI-stelsel zijn uitgegeven of door self- signed certificates. DANE maakt het voor de eigenaar van een domein mogelijk om via een met DNSSEC beveiligd DNS-record extra informatie bovenop de offline certificaten aan te reiken. Hierdoor kan real-timee een controle worden gedaan op de authenticiteit van de server en of de server-to-server-verbindingemanipuleerd. DANE is dan ook met name belangrijk tegen actieve legitiem is en niet wordt aanvallers. Het DANE-record kan gezien worden als een digitale vingerafdruk. Hierdoor kan het naast (of in plaats van) de certificaten van CA s worden gebruikt. DANE biedt real- in plaats van offline per aanbieder: dit zou het gebruik van domain validatedd certificates op termijn overbodig kunnen time validatie per individueel certificaat, maken. Toepassing van STARTTLS in combinatie met DANE De toepassing van STARTTLS in combinatie met DANE maakt het mogelijk om verbindingen die in principe niet als beveiligd beschouwd mogen worden (hetzij omdat er geen enkele beveiligingg op zit, hetzij omdat alleen zogenaamde opportunistische encryptie mogelijk is) om te zetten naar een gecontroleerde, beveiligde verbinding voor e-mailverkeer. Hierdoor is het voor aanvallers niet meer mogelijk om berichtenverkeer af te luisteren of te manipuleren. Door het gebruik van STARTTLS en DANE weet de verzendende mailserver dat de e-mail daadwerkelijk via een versleutelde verbinding is verstuurd naar een mailserver van de ontvangende partij. De toepassing van STARTTLS in combinatie met DANE kan worden gezien als een HTTPS voor e-mail. Figuur 2. E-mailverkeer zonder gebruik van TLS, STARTTLS en DANE Figuur 3. E-mailverkeer met gebruik van TLS en STARTTLS

Figuur 4. E-mailverkeer met gebruik van TLS, STARTTLS en DANE 2. Hoe is het proces verlopen? Om tot dit forumadvies te komen hebben achtereenvolgens een intakegesprek, experttoetsing en openbare consultatie plaatsgevonden. Naar aanleiding van de intake is besloten om STARTTLS en DANE in behandeling te nemen. Aan de experttoetsing hebben (toekomstige) eindgebruikers, leveranciers, adviseurs en andere kennishebbers deelgenomen. De conclusie uit de expertgroep was om STARTTLS en DANE op te nemen op de lijst met open standaarden met pas toe of leg uit -verplichting, onder voorwaarde dat er binnen het organisatorisch werkingsgebied tenminste twee organisaties de standaarden succesvol hebben geïmplementeerd. Het expertadvies is gepubliceerd ten behoeve van een openbare consultatie waarbij gevraagd is naar STARTTLS en DANE. Naar aanleiding hiervan is één reactie ontvangen. Deze reactie heeft geen invloed op onderliggend forumadvies. Wel is waren er ontwikkeling in de markt met betrekking tot SMTP STS die aanvullend onderzoek vergde. 3. Hoe scoort de standaard op de toetsingscriteria? Toegevoegde waarde De Nederlandse overheid moet vertrouwelijke informatie beschermen tegen afluisteren door aanvallers, hieronder wordt ook de communicatie tussen overheden onderling, tussen overheden en het bedrijfsleven en tussen overheden en burgers verstaan. Technisch zijn de standaarden eenvoudig en tegen geringe kosten te implementeren met name voor de inkomende mail. Voor de uitgaande mailstromen is meer afstemming noodzakelijk. Door de implementatie van de standaarden ontstaat een relatie tussen e-mailbeheerders en DNS-beheerders. Zij moeten bijvoorbeeld afstemmen over de toevoeging en het onderhoud van DANE-records in de DNS. Hoewel deze partijen niet vanzelfsprekend een samenwerkingsrelatie hebben is afstemming tussen deze partijen noodzakelijk. De kosten voor deze afstemming kan per implementatie verschillen. Geconcludeerd wordt dat de standaarden voldoende toegevoegde waarde hebben binnen het gekozen functioneel toepassingsgebied en organisatorisch werkingsgebied. Open standaardisatieproces STARTTLS en DANE worden beheerd door de Internet Engineering Task Force (IETF), een internationale standaardisatieorganisatie. Geconcludeerd wordt dat het het standaardisatieproces van IETF voldoende open is: IETF kent goed gedocumenteerde en open beheerprocedures, er is geen lidmaatschap, het beheerproces en de besluitvorming hieromtrent is open en transparant.

IETF beheert naast STARTTLS en DANE ook andere standaarden op het gebied van internet en e-mail, zoals DNSSEC, TLS, IMAP, SMTP, POP3, HTTP(S), IPv6, DKIM en SPF. Draagvlak Het gebruik van de standaarden is binnen het geadviseerde organisatorische werkingsgebied nog beperkt. Het NCSC heeft de standaarden onlangs succesvol geïmplementeerd. Ook zijn er positieve signalen bij andere overheidspartijen om de standaarden op korte termijn in gebruik te nemen. Opname bevordert de adoptie Opname van de standaarden is een passend middel om een bredere adoptie van de standaard binnen de (semi)overheid te bevorderen. Het gebruik van de standaarden is nog niet in alle gevallen vanzelfsprekend. Toelichting van eventuele risico s Er zijn geen specifieke risico s geïdentificeerd. 4. Wat is de conclusie van de expertgroep en de consultatie? Conclusie van de expertgroep De expertgroep adviseert het Forum Standaardisatie en het Nationaal Beraad Digitale Overheid om STARTTLS en DANE op te nemen op de lijst met open standaarden, met pas toe of leg uit -verplichting. Opname van STARTTLS en DANE is wel gebonden aan de voorwaarde dat minimaal twee partijen binnen het organisatorisch werkingsgebied de standaarden succesvol in gebruik hebben genomen. Hieraan is voldaan na meting via internet.nl. Eventuele aanvullingen vanuit de consultatie Tijdens de openbare consultatie van het expertadvies heeft OpenFortress positief gereageerd. OpenFortress onderschrijft het belang van de standaarden en opname op de lijst met open standaarden met de status pas toe of leg uit. 5. Welke additionele adviezen zijn er ten aanzien van de adoptie van de standaard? Naar aanleiding van de expertgroep en het aanvullend onderzoek zijn er voor het Forum en het Nationaal Beraad om bij opname op de lijst met open standaarden de volgende oproepen ten aanzien van de adoptie van de standaarden te doen: 1. Het Forum Standaardisatie wordt opgeroepen om een infographic over e- mailbeveiligingsstandaarden op te stellen om zodoende de relatie met onder andere S/MIME, PGP, IMAP(S), POP3(S), x509, DMARC, SPF en DKIM beter weer te geven. 2. NCSC wordt opgeroepen om, in aanvulling op de whitepaper ICTbeveiligingsrichtlijnen voor Transport Layer Security (TLS), een factsheet uit te brengen over het implementeren van STARTTLS en DANE. Dit dient Internet.nl vervolgens ook als uitgangspunt te nemen in hun metingen. 3. Het Forum Standaardisatie wijst er bij de mailstandaarden op de lijst met gangbare standaarden die tussen mailclient en mailserver gebruikt kunnen worden (POP, IMAP, SMTP) op dat deze bij voorkeur met TLS beveiligd moeten worden. 4. KING wordt opgeroepen om beveiligingsstandaarden als STARTTLS en DANE op te nemen op de GEMMA Softwarecatalogus. 5. Aan het Forum/Nationaal Beraad 0-meting uitvoeren naar gebruik van de standaarden. Pagina 8 van 9

6. De Shared Service Centra van het Rijk ( zoals SSC-ICT / DICTU) op te roepen de standaard te implementeren en hen hierop via ICCIO of CTO raad aan te spreken. 7. Om een jaar na opname van de standaarden te toetsen (in samenspraak met de expertgroep) hoe het verloopt met de implementatie en of de standaard ook verplicht moet worden voor de uitgaande mailstromen. 8. De ontwikkelingen rondom SMTP STS in de gaten te houden en wanneer SMTP STS een ontwikkelde standaard de relatie tussen de standaarden opnieuw te duiden. Het advies is dan ook om deze ontwikkeling nauw te volgen en waar mogelijk te participeren in de doorontwikkeling van de standaard. De aangewezen partij hiervoor is het NCSC, conform haar Cyber Security strategie 4. Bijlage Expertadvies STARTTLS en DANE Overzicht reacties consultatieronde 4 https://www.ncsc.nl/english/current-topics/national-cyber-security-strategy.html Pagina 9 van 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback