För oss på Binero (och förhoppningsvis även hos våra konkurrenter) är ambitionen att vi alltid ska dra vårt strå till stacken för att göra kommunikationen på nätet säkrare. Vi har tidigt erbjudit robust SSL/TLS och DNSSEC-signering av alla våra .se-domäner. Nu tar vi ytterligare ett stort och viktigt steg mot en säkrare kommunikation, genom att erbjuda DANE på utgående mail.
”DANE, vad är det?” – det kan mycket väl vara den första frågan du ställer dig när du läser den här artikeln. Förkortningen står för Domain-based Authentication of Named Entities, och är en standard framtagen av IETF. Med DANE kan domännamnsinnehavaren själv utfärda sina SSL-certifikat och göra dem tillgängliga via DNS – Internets ”telefonbok”.
Häng med så förklarar vi mer!
DANE behövs för att det kan innebära en säkerhetsrisk att alltid och fullt ut lita på ett stort antal certifikatsutfärdare som är förinstallerade i till exempel webbläsare. En CA som utsatts för ett intrång eller bara är illvillig, kan enkelt utfärda certifikat för vilken domän som helst. Idag är det alltför enkelt för alltför många aktörer att ingripa mellan användaren och servern och avlyssna konfidentiell information eller manipulera den. Dessa attacker sker oftare än vi tror och de flesta användare märker inte ens att det sker.
För att minska säkerhetsproblemet med att falska tredjeparts-certifikat används, innehåller DANE även en funktion för att ange vilken certifikatsutfärdare (CA) som tillåts utfärda certifikat för domänen. Sammanfattat kan sägas att tekniken eliminerar flera kända svagheter i TLS/SSL och därigenom ökar säkerheten i krypterade e-postmeddelanden. Det ger med andra ord ett effektivt skydd mot brottslingar eller underrättelsetjänster som låtsas vara en viss webbsida eller e-postserver för att få tillgång till inloggningsuppgifter eller innehåll med hjälp av falska certifikat – ett angreppssätt vi sett i allt större utsträckning de senaste åren.
DANE ger mycket högre säkerhet
Jörgen Nilsson är drifttekniker på Binero. Han arbetar mycket med olika säkerhetsaspekter, och anser att det här är en viktig förändring. Men hur fungerar det rent tekniskt?
– När en kund skickar ett mail tar vår server kontakt med mottagarens mailserver. När servrarna fått kontakt påbörjar de en förhandling om vilken krypteringmetod som ska användas. Om mottagarens server har stöd för DANE används det, annars används TLS om det stöds. Har mottagarens server varken stöd för Dane eller TLS skickas mailet okrypterat. På så sätt kan mail alltid levereras, med den säkraste metoden som finns tillgänglig.
Vad är den stora vinsten med att köra DANE?
– Med TLS sker leveransen av mail krypterat, men du har inte någon möjlighet att kontrollera att det är rätt mottagare du kommunicerar med. Med Dane får du krypteringen samtidigt som du kan vara säker på att mailet går till rätt person.
Finns det några begränsningar, eller något kunden bör tänka på?
– Om du har en .mobi-domän kan du inte använda DNSSEC och därmed inte heller Dane. Övriga domännamn som Binero hanterar har stöd för DNSSEC. Det ska också nämnas att i nuläget används DANE endast för utgående e-post, men inom kort kommer vi att börja förbereda för att använda det även för inkommande e-post.
Jörgen Nilsson påpekar att både DNSSEC och DANE fortfarande kan anses vara i en uppstartsfas.
– Sverige ligger bra till med DNSSEC och nästan 75 procent av .se-domänerna använder DNSSEC, men för övriga Europa och USA är genomsnittet ungefär 20 procent. Av de domäner som använder DNSSEC är det ännu färre som använder Dane. Men jag är övertygad om att det kommer att lossna snart både för DNSSEC och DANE. Ju fler som börjar använda DANE, desto större fördelar blir det att själv börja använda det. Vi hoppas kunna motivera fler att börja använda det och få igång utvecklingen.
Har du en dryg halvtimme till övers och vill veta mycket mer om de tekniska detaljerna bakom DANE kan du spana in den den här videon, där nätverksexperten och säkerhetsforskaren Wes Hardaker, som bland annat arbetar inom IETF, förklarar mer om fördelarna med tekniken och hur det hela fungerar.
