Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

DANE

Technologie

Op DNS gebaseerde authenticatie van entiteiten.

DANE staat voor DNS-Based Authentication of Named Entities en is een internetbeveiligingsprotocol dat de authenticiteit van TLS-certificaten verifieert via het Domain Name System. DANE maakt het mogelijk om in de DNS-records van een domein vast te leggen welke certificaten of certificaatautoriteiten (CA's) geautoriseerd zijn voor dat domein. Hierdoor wordt de afhankelijkheid van het traditionele CA-systeem verminderd, waarin elke CA certificaten kan uitgeven voor elk domein. DANE bouwt voort op DNSSEC om de integriteit van de DNS-records te garanderen en biedt daarmee een extra beveiligingslaag bovenop het bestaande TLS-ecosysteem. Het protocol is vooral waardevol voor de beveiliging van e-mailverkeer, waar het man-in-the-middle aanvallen op SMTP-verbindingen effectief voorkomt. DANE is vastgelegd in RFC 6698 en RFC 7671 en wordt actief onderhouden door de IETF als onderdeel van de bredere inspanning om internetprotocollen veiliger te maken.

Hoe werkt DANE?

DANE werkt door TLSA-records (Transport Layer Security Authentication) toe te voegen aan de DNS-configuratie van een domein. Een TLSA-record bevat informatie over het verwachte TLS-certificaat van een server, zoals de volledige certificaathash of de hash van de publieke sleutel. Wanneer een client verbinding maakt met de server, vergelijkt het de gepresenteerde certificaatinformatie met wat in het TLSA-record staat.

Het proces verloopt in meerdere stappen. Eerst vraagt de client het TLSA-record op via DNS. Omdat DANE afhankelijk is van de betrouwbaarheid van DNS-antwoorden, moeten deze records zijn ondertekend met DNSSEC. Zonder DNSSEC zou een aanvaller de DNS-records kunnen manipuleren en een vals TLSA-record kunnen presenteren, waarmee het hele beveiligingsmodel zou worden ondermijnd. Vervolgens verifieert de client of het certificaat dat de server aanbiedt overeenkomt met de informatie in het TLSA-record.

Volgens de Internet Society lost DANE een fundamenteel probleem op in het huidige CA-systeem. In het traditionele model kan elke van de honderden vertrouwde CA's een certificaat uitgeven voor elk domein. Als een CA wordt gecompromitteerd of onder druk wordt gezet, kunnen valse certificaten worden uitgegeven. DANE beperkt dit risico door de domeineigenaar controle te geven over welke certificaten als geldig worden beschouwd.

Voor e-mailbeveiliging is DANE bijzonder effectief. DANE voor SMTP gebruikt het TLSA-record om de mailserver van het ontvangende domein te authenticeren. Wanneer een verzendende mailserver een e-mail aflevert, controleert deze het TLSA-record om te verifieren dat de ontvangende server daadwerkelijk is wie het beweert te zijn. Dit voorkomt dat een aanvaller het e-mailverkeer kan onderscheppen via een man-in-the-middle aanval, zelfs als de aanvaller een geldig certificaat van een andere CA heeft verkregen.

Wanneer heb je DANE nodig?

DANE is waardevol voor elke organisatie die de beveiliging van haar e-mailinfrastructuur serieus neemt. E-mail is nog steeds een van de meest gebruikte communicatiekanalen voor zakelijke correspondentie en bevat regelmatig vertrouwelijke informatie. Zonder DANE kan e-mailverkeer onderweg worden onderschept als een aanvaller erin slaagt een vals certificaat te bemachtigen of de DNS-resolutie te manipuleren.

Overheidsorganisaties en organisaties in gereguleerde sectoren hebben DANE vaak nodig om te voldoen aan beveiligingsstandaarden. In Nederland wordt DANE aanbevolen door het NCSC als onderdeel van de e-mailbeveiligingsstandaarden, samen met SPF, DKIM en DMARC. De overheid heeft DANE opgenomen in de lijst van verplichte open standaarden voor overheidscommunicatie via het 'pas toe of leg uit'-beleid.

DANE is ook relevant voor organisaties die eigen mailservers beheren en de authenticiteit van hun e-mailcommunicatie willen garanderen. Door TLSA-records te publiceren, geef je ontvangende mailservers de mogelijkheid om te verifieren dat ze daadwerkelijk met jouw mailserver communiceren. Dit verhoogt het vertrouwen in de e-mailbeveiliging en verkleint het risico op onderschepping.

Voor organisaties die webservices aanbieden, biedt DANE een extra beveiligingslaag bovenop het reguliere TLS-certificaatbeheer. Door TLSA-records te publiceren, maak je het voor aanvallers aanzienlijk lastiger om valse certificaten in te zetten bij gerichte aanvallen op jouw domein. Dit is vooral relevant voor organisaties die een hoog risico lopen op gerichte aanvallen, zoals financiele instellingen en technologiebedrijven. Volgens Microsoft is DANE voor SMTP een van de meest effectieve methoden om de vertrouwelijkheid en integriteit van e-mailcommunicatie te waarborgen in transit.

Voordelen en beperkingen van DANE

Het voornaamste voordeel van DANE is de fundamentele versterking van het vertrouwensmodel voor TLS-certificaten. Door de domeineigenaar controle te geven over welke certificaten geldig zijn, wordt het risico van frauduleus uitgegeven certificaten sterk verminderd. Dit is een aanvulling op het bestaande CA-systeem, niet een vervanging ervan, waardoor DANE incrementeel kan worden uitgerold zonder bestaande infrastructuur te breken.

DANE is backward compatible. Als de ontvangende partij DANE niet ondersteunt, valt de verbinding terug op regulier TLS of STARTTLS. Dit betekent dat je DANE kunt implementeren zonder dat het de communicatie met partijen die DANE nog niet gebruiken verstoort. De adoptie kan geleidelijk plaatsvinden terwijl het protocol interopereert met de bestaande e-mailinfrastructuur.

De combinatie van DANE met DNSSEC biedt een cryptografisch geverifieerde keten van vertrouwen, van de domeinnaam tot het TLS-certificaat. Dit maakt het voor aanvallers aanzienlijk lastiger om phishing-aanvallen of man-in-the-middle aanvallen uit te voeren op e-mail- en webverkeer.

De belangrijkste beperking van DANE is de vereiste van DNSSEC. Zonder DNSSEC kan DANE niet functioneren, en de adoptie van DNSSEC is wereldwijd nog niet universeel. De implementatie van DNSSEC vereist technische expertise en kan de complexiteit van DNS-beheer verhogen. Daarnaast wordt DANE voornamelijk ondersteund in de e-mailwereld. Webbrowsers ondersteunen DANE nog nauwelijks, waardoor het voor webverkeer minder relevant is dan voor e-mail. De operationele complexiteit van het beheren van TLSA-records, met name bij certificaatwisselingen, vereist zorgvuldige planning om onderbrekingen te voorkomen. Het is raadzaam om bij certificaatvernieuwingen eerst het nieuwe TLSA-record te publiceren voordat het oude certificaat wordt vervangen, zodat er geen validatieproblemen ontstaan tijdens de overgangsperiode.

Veelgestelde vragen over DANE

Is DANE verplicht in Nederland?

DANE staat op de 'pas toe of leg uit'-lijst van de overheid, wat betekent dat overheidsorganisaties DANE moeten implementeren of onderbouwd moeten uitleggen waarom ze dat niet doen. Voor private organisaties is DANE niet verplicht maar wordt het sterk aanbevolen door het NCSC.

Wat is het verschil tussen DANE en Certificate Transparency?

Certificate Transparency (CT) logt alle uitgegeven certificaten in publieke logboeken zodat domeinhouders ongeautoriseerde certificaten kunnen detecteren. DANE gaat verder door de domeinhouder te laten specificeren welke certificaten geldig zijn. CT is reactief, DANE is preventief.

Werkt DANE zonder DNSSEC?

Nee. DANE is volledig afhankelijk van DNSSEC voor de integriteit van de TLSA-records. Zonder DNSSEC zou een aanvaller valse TLSA-records kunnen injecteren, waardoor het beveiligingsmodel wordt ondermijnd.

Hoeveel organisaties gebruiken DANE voor e-mail?

In Nederland is de adoptie relatief hoog vergeleken met andere landen, mede door het overheidsbeleid. De meeste grote e-mailproviders en overheidsorganisaties ondersteunen DANE. Internationaal groeit de adoptie gestaag, vooral in Europa.

Is DANE moeilijk te implementeren?

De implementatie vereist kennis van DNS-beheer en DNSSEC. Voor organisaties die al DNSSEC hebben geimplementeerd, is het toevoegen van TLSA-records relatief eenvoudig. De grootste uitdaging zit in het operationele beheer bij certificaatwisselingen.

Versterk je e-mailbeveiliging met de juiste oplossingen. Bekijk E-mailbeveiliging aanbieders op IBgidsNL.