Vimexx Facebook

Vimexx Blog

Lees hier alle laatste Vimexx blogs!

Wat is TLSA/Dane?

Blog bij Vimexx op 09-07-2018

Wanneer we het over TLSA en Dane hebben, gaat het in veel gevallen over de integriteit en vertrouwelijkheid van e-mailverkeer. Het is steeds belangrijker geworden om e-mails over een beveiligde verbinding te versturen, om de mogelijkheid tot het aftappen hiervan te minimaliseren. TLSA en Dane kunnen je hierbij helpen! In dit artikel gaan we dieper in op de werking van TLSA en Dane. Een combinatie van beiden voorkomt dat e-mailverkeer is af te luisteren of gemanipuleerd kan worden.

 

Dane staat hierbij voor DNS-base Authentication of Named Entities en TLSA voor Transport Layer Security Protocol.

 

Wat is de werking van TLSA bij e-mailverkeer?

TLSA is een onderdeel van STARTTLS, wat de mogelijkheid biedt om een verbinding tussen verschillende e-mailservers te beveiligen. Bij het verzenden van een e-mail maakt de ene e-mailserver immers verbinding met een externe e-mailserver. STARTTLS is hierbij het protocol wat ervoor zorgt, dat de onbeveiligde verbinding wordt omgezet tot een beveiligde verbinding met TLSA-certificaten.

 

Het aanvragen van deze certificaten kan via de hosting provider. Zij zullen je aanvraag vervolgens doorzetten naar een externe partij, die de certificaten uitkeert. Dit gebeurt alleen, wanneer deze organisatie heeft vastgesteld dat je de eigenaar van de website bent.

Hoe voegt Dane hier waarde aan toe?

Alleen STARTTLS gebruiken is niet voldoende. Dane dient hierbij als de e-mailbeveiligingsstandaard, die het mogelijk maakt het gebruik van de certificaten met TLSA af te dwingen. Zo wordt het e-mailverkeer op een bijzonder degelijke wijze afgeschermd voor buitenstaanders, die geen toegang zou moeten hebben tot deze e-mailberichten. Het gebruik van Dane is geen volledig nieuwe techniek. Voorheen maakte men gebruik van DNSSEC, waar Dane op voortborduurt.

 

Met Dane is het mogelijk om verschillende vormen van sleutelinformatie, zoals een hash, te koppelen aan een protocol of een combinatie van poorten. De authenticiteit van een certificaat kan op deze manier worden achterhaald, om vast te stellen of een verbinding vertrouwd kan worden.

 

Opbouw van een TLSA-record

Een TLSA-record wordt altijd op dezelfde wijze opgebouwd en bestaat uit drie verschillende onderdelen. Dit zijn het nummer van de betrokken poort, het protocol voor het transport van het e-mailbericht en de host waarvan het certificaat gecontroleerd moet worden. Er bestaat een speciale website, ontwikkeld door SIDN Labs, die de mogelijkheid biedt om te controleren of je deze TLSA-record op de juiste wijze voor je website hebt ingesteld. Doordat het opstellen van zo’n TLSA-record behoorlijk ingewikkeld kan zijn, kun je hier de hulp van je hosting provider voor inschakelen. In veel gevallen zullen zij hun servers, waarop je eigen website draait, standaard van deze beveiliging hebben voorzien.

Wil je graag reageren op dit blog artikel? Dat kan! Bekijk het topic in ons Vimexx forum!