STARTTLS og DANE

STARTTLS sikrer, at forbindelsen mellem mailservere er krypteret mens en e-mail sendes. DANE-standarden er et ekstra sikkerhedstjek både på web og mail. DANE er en slags identitets-match, som dobbelttjekker, at alt er, som det skal være. Tænk på et forfalsket kørekort, som ligner et autentisk kørekort, men hvor kørekortets nummer kan afsløre forfalskningen. DANE fungerer som et register, der tjekker, at det rent faktisk er det rigtige kørekortnummer, på kortet som passer til kortets rigtige indehaver. DANE danner et tæt parløb med DMARC-, DKIM- og SPF-standarderne, som alle bør være aktiveret.

Hvorfor?

• "Opportunistic Security: Some Protection Most of the Time" af V. Dukhovni
• "New e-mail security protocols mandatory within government" af Marco Davids (SIDNlabs)
• "The sad state of SMTP encryption" af Filippo Valsorda

Adoptionsstatistikker

• DANE trend graphs
• DANE statistics
• Google's statistics on STARTTLS

Yderligere information

• Sikker brug af Transport Layer Security (TLS) fra Center for Cybersikkerhed.
• Wiki over 'DANE for SMTP'
• "ICT securitity guidelines for TLS v2.0" fra NCSC-NL
• BSI TR-03108 Sicherer E-Mail-Transport fra German Federal Office for Information Security
• Special Publication 1800-6: “Domain Name Systems-Based Electronic Mail Security” fra NIST

Specifikationer og retningslinjer

• RFC 3207: SMTP Service Extension for Secure SMTP over Transport Layer Security
• RFC 7672: SMTP Security via Opportunistic DNS-Based Authentication of Named Entities (DANE) Transport Layer Security (TLS)
• RFC 7671: The DNS-Based Authentication of Named Entities (DANE) Protocol: Updates and Operational Guidance"