Moderne internetstandaarden voor een veilig en betrouwbaar internet

TLS/SSL

Transport Layer Security (TLS) is een protocol dat de beveiliging van transport over het internet verzorgt. Dit protocol is beschikbaar voor allerlei applicatieprotocollen, waaronder HTTP (web) en IMAP (e-mail). TLS versleutelt en ontsleutelt het verkeer bij de client en bij de server, waardoor het verkeer tijdens het transport niet door derden uitgelezen kan worden. Zowel server als client kunnen geen tot weinig invloed uitoefenen op de route die het verkeer over het internet neemt. Door versleuteling hoeven beide geen vertrouwen te hebben in de partijen die het transport verzorgen. De afgelopen jaren zijn steeds meer websites met TLS beveiligd. Er is echter nog volop ruimte voor verbetering. Websites waar een contactformulier op staat, en dus persoonsgegevens op worden uitgewisseld, behoeven versleuteling.

HSTS

De afkorting HSTS staat voor HTTP Strict Transport Security. Met deze instelling wordt er afgedwongen dat de webbrowser bij een volgend bezoek altijd HTTPS moet gebruiken. Door HSTS in te stellen kunnen downgrade attacks en cookie hijackings worden voorkomen. Op een webserver kan ingesteld worden dat bezoekers die over HTTP binnenkomen geredirect worden naar HTTPS. In de configuratie van de website staat een header die aangeeft dat alle URL's binnen die hostname via HTTPS bezocht moeten worden. Bij ieder volgend bezoek aan de betreffende hostname wordt er onthouden dat alleen via HTTPS mag worden opgevraagd en niet via het onveilige HTTP-protocol. Dit geldt voor iedere pagina of afbeelding binnen deze hostname.

DNSSEC

Het DNS is kwetsbaar, waardoor het aantrekkelijk is voor kwaadwillenden. Zij kunnen een domeinnaam koppelen aan een ander IP-adres, DNS spoofing genoemd. Hierdoor worden gebruikers misleid naar een malafide website. DNSSEC is er om de DNS lookup te beveiligen. DNSSEC staat voor Domain Name System Security Extensions en voorziet de DNS records van een cryptopgrafische handtekening zodat het antwoord van een nameserver op ‘authenticiteit’ gecontroleerd kan worden. Door cryptografische handtekeningen wordt een antwoord van een nameserver op ‘authenticiteit’ gecontroleerd en beschermd tegen dreiging onderweg door cybercriminelen.

SPF

Sender Policy Framework (SPF) is ontwikkeld om het SMTP-protocol van meer beveiliging te voorzien. Door middel van een TXT-record in de DNS-zone geeft het aan welke mailserver(s) geautoriseerd zijn om een e-mail te versturen vanaf uw maildomein. Zodoende zorgt SPF ervoor dat buitenstaanders geen gespoofde e-mail of spam van uw maildomein ontvangen; afzendervervalsing wordt detecteerbaar gemaakt. Indien de verzendende mailserver niet in de lijst met gepubliceerde IP-adressen staat (de zogeheten SPF-records) maar toch mail verstuurt met het betreffende domein als afzender, dan wordt de mail als niet geautoriseerd beschouwd. Uw SPF-maatregel heeft geen impact op spam of e-mail die naar u verstuurd wordt.

DKIM

DKIM (DomainKeys Identified Mail) is een internetstandaard waarbij de verzendende server middels een ‘private key’ een cryptografische hash maakt. Deze hash wordt toegevoegd aan de e-mail in de vorm van een DKIM-header, een soort zegel op de e-mailenvelop. Vervolgens wordt er een public en private keypair gegenereerd; een private key voor op de mailserver en een public key voor in het DNS. De ontvangende mailserver controleert de hash in de e-mail met behulp van de publieke key in het DNS.

DMARC

DMARC staat voor Domain-based Message Authentication, Reporting & Conformance. Het is een combinatie van een goed ingesteld SPF-record en DKIM-configuratie. Door middel van DMARC is het mogelijk om een beleid in te voeren rondom de manier waarop de e-mailprovider omgaat met mailverkeer waarvan niet bekend is of deze afkomstig is van het vermelde afzenderdomein. Hierdoor kan voorkomen worden dat anderen mailen namens het e-maildomein van uw organisatie. Met DMARC wordt misbruik van de domeinnaam middels e-mail verminderd, of zelfs voorkomen.

DANE TLSA

DNS-based Authentication of Named Entities (DANE) is een techniek die voortbouwt op DNSSEC en zorgt voor het veilig publiceren van publieke sleutels en certificaten. DANE kan worden gebruikt om sleutelinformatie (bijvoorbeeld een hash code) aan een adres/protocol of poortcombinatie te koppelen. Op die manier kan van elke versleutelde internetservice de authenticiteit van het certificaat via DNS worden geverifieerd. Komt de hash code van het certificaat of de certificaatautoriteit niet overeen met de hash code in het TLSA record, dan weet de client dat de verbinding niet te vertrouwen is. Voor e-mailcommunicatie wordt hiervan al gebruik gemaakt.

IPv6

Alle apparaten die verbonden zijn met internet hebben een eigen IP-adres. Door de toename van het aantal apparaten dat verbonden wordt met internet, worden de IPv4-adressen die hiervoor nodig zijn steeds schaarser en zijn ze inmiddels vrijwel op. IPv6 is de opvolger van IPv4. IPv6 lost dit probleem op met 128 bits adressen in plaats van de 32 bits adressen in IPv4. Dit houdt in dat er veel meer unieke IP-adressen beschikbaar zijn: 3,4 x 10^38 (een 3 met 38 nullen) tegenover de 4 x 10^9 (een 4 met 9 nullen). IPv6 zorgt ook voor betere end-to-end connectiviteit.

Meer weten over internetstandaarden?

Wilt u meer weten over deze moderne internetstandaarden? Neem dan contact met ons op via info@bit.nl of 0318 648 688. U kunt ook zelf testen hoe u er voor staat en waar eventueel nog zaken te verbeteren zijn. Doe de test op internet.nl!

Internet.nl stelt ook 'how-to's' beschikbaar met praktische informatie die je kunnen helpen bij het implementeren van deze standaarden. Lees op de site van SIDN ook meer over de implementatie van SPF, DKIM en DMARC op de Postfix-mailserver.