22-09-2016

Overheden moeten bij investeringen in e-mailsystemen voortaan ook de e-mail-beveiligingsstandaarden STARTTLS en DANE implementeren. STARTTLS in combinatie met DANE gaan het afluisteren en manipuleren van mailverkeer tegen. Het Nationaal Beraad Digitale Overheid heeft op 19 september jl. besloten om beide open standaarden aan de lijst met verplichte standaarden volgens het 'pas-toe-of-leg uit'-regime toe te voegen.

STARTTLS en DANE beschermen mail tegen afluisteren en manipulatie
De combinatie STARTTLS en DANE, die is gestandaardiseerd in IETF RFC 7672, zorgt voor solide versleuteling van mailverkeer. STARTTLS maakt de versleutelde verbinding mogelijk. DANE zorgt er als 'een aanvullend slot op de deur' voor dat de versleuteling daadwerkelijk plaatsvindt. DANE bouwt voort op DNSSEC dat al op de lijst met standaarden staat en inmiddels voor bijna 50% van de .nl-domeinnamen is geactiveerd. Door STARTTLS en DANE is het voor aanvallers niet mogelijk om berichtenverkeer af te luisteren of te manipuleren.

Het belang van de standaarden wordt onderschreven in het 'Cybersecuritybeeld Nederland 2016' van het Nationaal Cyber Security Centrum (NCSC): “Om ook de integriteit en vertrouwelijkheid [van mail] te garanderen is meer nodig. […] STARTTLS is hier alleen een effectieve maatregel tegen een passieve, afluisterende aanvaller. [De] combinatie [STARTTLS en DANE] beveiligt ook tegen andere mogelijke aanvallen.”

Wie ondersteunt de standaarden al?

Uit een  meting eerder dit jaar door Forum Standaardisatie bleek dat 68% van de inkomende overheidsmailservers ondersteuning biedt voor STARTTLS. Van de 1175 via STARTTLS bereikbare mailservers ondersteunden er slechts 10 aanvullend DANE. Verschillende Nederlandse mailproviders, zoals XS4ALL en TransIP, zetten de combinatie al in. In Duitsland zijn er ook verschillende grote mailproviders, zoals Mail.de en Web.de , die beide standaarden ondersteunen. De Duitse overheidsorganisatie BSI  adviseert overheden eveneens om beide standaarden in te zetten. Met de mailtest op https://Internet.nl kan nu al iedere domeinnaam getest worden op de ondersteuning van beide standaarden.

Over het verplichten van de standaarden
Michiel Leenaars, directeur van de stichting NLnet en indiener van de standaard, zegt over het verplichten van de open standaarden:

"De twee standaarden STARTTLS en DANE zijn belangrijke nieuwe instrumenten waarmee de beveiliging van het dagelijks emailverkeer fors verbeterd kan worden. Overheden krijgen en sturen heel veel gevoelige informatie via dat kanaal, en dus is het zaak om ondersteuning voor deze standaarden zo snel mogelijk breed uit te rollen. Opname op de ‘pas toe of leg uit’-lijst is daarom een goede zaak, en een waardevolle impuls voor het gebruik van deze standaarden in Nederland."

Door het besluit van het Nationaal Beraad over opname van STARTTLS en DANE op de lijst met standaarden zijn alle organisaties in de publieke sector, waaronder ook instellingen in de zorg en overheid vallen, verplicht om deze standaard aan te schaffen en te gebruiken bij de inkoop van nieuwe ICT-systemen en -diensten die vallen binnen het beschreven toepassingsgebied van de standaarden. Voor een overzicht van alle open standaarden waarop het 'pas toe of leg uit'-regime van toepassing gaat u naar de website van het Forum Standaardisatie.