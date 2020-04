De Amerikaanse burgerrechtenbeweging EFF stopt na zes jaar met het STARTTLS Everywhere Project voor veiligere e-mail. Te weinig e-mailproviders maken er gebruik van, zo laat de beweging weten. De EFF startte het project in 2014 na de onthullingen door klokkenluider Edward Snowden. Het moest het eenvoudiger voor mensen maken om ervoor te zorgen dat hun communicatie niet kwetsbaar was voor massasurveillance.

STARTTLS is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet. Het moet door de beheerder van de mailserver worden ingeschakeld. Via de website starttls-everywhere.org kunnen gebruikers en beheerders controleren of hun e-mailprovider STARTTLS heeft ingeschakeld, of er van een geldig certificaat gebruik wordt gemaakt en of die op de STARTTLS "preload list" staat.

Servers die aan aan een minimale set van beveiligingseisen voldoen worden op de STARTTLS policy list van de EFF geplaatst. Mailservers kunnen met deze lijst zien of andere mailservers STARTTLS ondersteunen. E-mailproviders maken echter nauwelijks gebruik van de lijst. Daarnaast zijn er inmiddels andere standaarden zoals MTA-STS en DANE waarmee mailservers hun TLS-informatie kunnen aankondigen.

De EFF heeft daarom besloten om te stoppen met het project en de lijst. Zo worden vanaf 27 april geen nieuwe toevoegingen voor de STARTTLS policy list geaccepteerd. Toch is er volgens de EFF nog genoeg werk te doen om e-mail te beveiligen. DANE wordt weinig gebruikt en MTA-STS, dat wel door grote internetproviders en partijen zoals Google wordt ondersteund, maakt het mogelijk voor kwaadwillende internetproviders om de eerste keer dat TLS-informatie wordt opgevraagd dit verzoek te blokkeren.

Een ander nadeel is dat weinig populaire opensourcemailservers ondersteuning voor MTA-STS bieden. De EFF roept mailserverontwikkelaars dan ook op om security standaard aan hun software toe te voegen en ondersteuning voor geauthenticeerde TLS in e-mail aan te bieden. "Zoals we hebben gezien met het groeiend gebruik van https, als we security eenvoudig maken, kan het universeel worden", aldus Mona Wang van de EFF.