Nederlandse domeinnamen koploper met gebruik van DANE-protocol
Nederlandse domeinnamen zijn wereldwijd koploper met het gebruik van DANE, een protocol voor het beveiligen van e-mail. Dat meldt Viktor Dukhovni, mede-auteur van het protocol. DANE staat voor DNS-based Authentication of Named Entities en zorgt ervoor dat STARTTLS wordt afgedwongen. Dit is een uitbreiding voor smtp die een beveiligde verbinding tussen de verzendende en ontvangende mailserver opzet.
Daarnaast geeft het zekerheid over de identiteit van de ontvangende mailserver. "Dit voorkomt dat een aanvaller zich kan uitgeven als ontvangende-mailserver, waardoor hij het mailverkeer kan onderscheppen", aldus het Forum Standaardisatie. Volgens een telling van Dukhovni zijn er zo'n 700.000 .nl-domeinnamen waar DANE staat ingesteld. Daarmee is de .nl-zone nummer één wereldwijd. Het topleveldomein .com volgt met 411.000 domeinen op de tweede plek.
De groei van DANE vlakte dit jaar echter sterk af, zo meldt de Stichting Internet Domeinregistratie Nederland (SIDN). "Iets dat wij ons moeten aantrekken. Vanwege onze voortrekkersrol op gebied van DNSSEC – een harde vereiste voor de toepassing van DANE – nemen de .nl-domeinnamen en andere domeinnamen in beheer bij Nederlandse hosting providers ook het grootste aandeel in de DANE-beveiligde maildomeinen voor hun rekening."
Wereldwijd zijn er zo'n 2,8 miljoen maildomeinen van DANE voorzien. "Op een totaal van 16,2 miljoen domeinen waarvan de MX-records ondertekend zijn met DNSSEC, is dat zo'n 17 procent", laat de SIDN weten. De afvlakking van de groei komt mogelijk doordat de grotere mailhosters hun MX-gateways inmiddels van DANE-ondersteuning hebben voorzien en dat de kleinere operators moeite hebben om DANE te implementeren.
meer bedoeld om te checken of je niet met een kwaadwillig uitgegeven certificaat te maken hebt.
Voor het doel wat hierboven beschreven wordt is er weer een andere stopgap, dat is MTA-STS.
Dat is niet heel breed uitgerold maar bijvoorbeeld Google gebruikt dat wel.
Het voordeel is dat je geen DNS updates hoeft te doen als je certificaat renewed is (met nieuwe key).
meer bedoeld om te checken of je niet met een kwaadwillig uitgegeven certificaat te maken hebt.
Voor het doel wat hierboven beschreven wordt is er weer een andere stopgap, dat is MTA-STS.
Dat is niet heel breed uitgerold maar bijvoorbeeld Google gebruikt dat wel.
Het voordeel is dat je geen DNS updates hoeft te doen als je certificaat renewed is (met nieuwe key).
MTA-STS lijkt echter nooit van de grond gekomen te zijn. Buiten Google gebruikt niemand de standaard bij het verzenden van e-mails. Het aanbieden is wel eenvoudiger, zoals je zelf al schrijft. Maar beide kanten moeten ondersteuning bieden, en dat is met DANE wel weer makkelijker.
Zie dit artikel: https://www.isi.edu/~hardaker/news/2021-09-20-DANE-vs-STS.html
Zie dit artikel: https://www.isi.edu/~hardaker/news/2021-09-20-DANE-vs-STS.html
dat tegenpolen zijn maar dat is niet zo, de reden om MTA-STS te gebruiken ipv DANE hoeft niet te zijn dat je geen DNSSEC
hebt, maar kan net zo goed zijn dat je geen koppeling wilt of kunt maken tussen de uitgifte van je certificaten en de inhoud
van je DNS (bijvoorbeeld omdat je de certificaat renewal software om veiligheidsredenen geen API toegang tot je toplevel
domein DNS service wilt geven). Wil je in die omstandigheden DANE gebruiken dan ben je verplicht om de secret key
bij certificaat renewal onveranderd te laten, en dat wordt weer door andere artikelen afgeraden.
En het het nadeel is dat 'trust on first use' nodig is. Net als met HSTS voor web trouwens.
Als Office 365 inkomende mailservers het zouden gaan ondersteunen, wat volgens https://www.sidn.nl/en/news-and-blogs/microsoft-working-on-implementation-of-modern-internet-standards er gelukkig wel een keer aankomt (duurt wel nog even) zouden ineens heel veel bedrijven dat op orde hebben.
Misschien zou de overheid naar de 'pas toe of leg uit' lijst kunnen helpen door het simpelweg te verplichten als je iets levert aan NL/EU-bedrijven? Is met de GDPR ook prima gelukt, en lukt andere staten ook prima met b.v. opslag van data.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.