STARTTLS en DANE

STARTTLS (Transport Layer Security) in combinatie met DANE (DNS-based Authentication of Named Entities) gaan het afluisteren of manipuleren van mailverkeer tegen.

STARTTLS maakt het mogelijk om transportverbindingen tussen e-mailservers op basis van certificaten met TLS te beveiligen.  Met de complementaire standaard DANE kunnen e-mailservers het gebruik van TLS bovendien afdwingen.

Hoe voldoe je aan deze eis?

Inkomende mailservers passen STARTTLS (SMTP over STARTTLS, oftewel ESMTPS) in combinatie met DANE toe, zodat verzendende mailservers daarmee een versleutelde verbinding over een onvertrouwd netwerk (zoals internet) kunnen opzetten. Dit voorkomt dat aanvallers het mailverkeer kunnen afluisteren (passieve aanvallers) en/of kunnen manipuleren (actieve aanvallers).

Dit functioneel toepassingsgebied geldt voor alle mailverbindingen buiten de (interne) infrastructuur die onder eigen beheer valt.

Is dit verplicht?

Ja, dit is verplicht. Alle (sub)domeinen van de overheid moeten STARTTLS en DANE toepassen. STARTTLS en DANE staan op de lijst verplichte standaarden (de ‘Pas toe of leg uit’-lijst) van het Forum Standaardisatie.

Meer informatie

Meer informatie over STARTTLS en DANE vind je bij Forum Standaardisatie.

De maandelijkse testresultaten van Internet.nl (inclusief STARTTLS en DANE) voor alle websites van de Rijksoverheid vind je in het Websiteregister Rijksoverheid.

Forum Standaardisatie voert ieder halfjaar een meting uit op de implementatie van deze informatieveiligheid-standaard bij overheidsorganisaties.