Aantal met DANE beveiligde mail-domeinen groeit inmiddels exponentieel
.nl-zone speelt voortrekkersrol
Het aantal mail-domeinen dat is voorzien van een TLSA record groeit wereldwijd sinds een half jaar exponentieel. Nederland speelt in die ontwikkeling een belangrijke rol, zowel in de .nl-zone zelf als in het aantal hosting providers dat DANE voor mail implementeert.
Sterke groei wereldwijd
DANE voor mail heeft het afgelopen half jaar een enorme groei doorgemaakt. Volgens de laatste statistieken op DNSSEC-Tools zijn op dit moment bijna 1,1 miljoen domeinen van deze beveiligingstechnologie voorzien. Op een totaal van 9,4 miljoen top-level domeinen met DNSSEC-ondertekende MX records is dat 11,5 procent.
Kijken we naar het aantal mail gateways, dan zien we dat dit al jaren min-of-meer lineair groeit. Dat betekent dat de grote operators inmiddels bezig zijn om de door hun beheerde mail-domeinen in bulk van DANE te voorzien. Zo heeft One.com, dat ook een aanzienlijk aantal .nl-domeinen beheert, hieraan een belangrijke bijdrage geleverd. Hetzelfde geldt voor TransIP, dat al langer DANE voor de door hen beheerde domeinen configureert.
Nederlandse registrars
Deze cijfers zijn afkomstig van Viktor Dukhovni — mede-auteur van de DANE-standaard zoals vastgelegd in RFC 7671 — die elke maand DANE-statistieken uit allerlei bronnen verzamelt en een overzicht daarvan rondstuurt. In zijn top 20 van DANE-beveiligde mail hosters zien we behoorlijk wat Nederlandse registrars staan.
682.345 | one.com |
122.842 | transip.nl |
97.106 | domeneshop.no |
35.828 | active24.com |
32.803 | vevida.com |
24.093 | udmedia.de |
16.091 | flexfilter.nl |
12.932 | onebit.cz |
11.039 | bhosted.nl |
5.992 | netzone.ch |
5.657 | previder.nl |
3.901 | ips.nl |
3.535 | interconnect.nl |
2.490 | provalue.nl |
2.343 | nederhost.nl |
1.646 | nmugroup.com |
1.445 | yourdomainprovider.net |
1.328 | hi7.de |
1.308 | xcellerate.nl |
1.307 | prolocation.net |
Nederlandse mail gateways
Kijken we naar de landen waar de DANE-beveiligde mail gateways zich bevinden, dan staat Nederland op de 3e plaats voor IPv4, en zelfs op de 2e plaats voor IPv6 (ondanks dat Nederland zich wat IPv6 betreft in een achterstandspositie bevindt).
IPv4 | IPv6 | |||
|---|---|---|---|---|
totaal: | 4.977 | 1.934 | ||
1.680 | DE, Germany | 677 | DE, Germany | |
1.026 | US, United States | 309 | NL, Netherlands | |
674 | NL, Netherlands | 221 | FR, France | |
382 | FR, France | 170 | US, United States | |
204 | GB, United Kingdom | 111 | CZ, Czechia | |
170 | CZ, Czechia | 51 | GB, United Kingdom | |
104 | CA, Canada | 40 | SE, Sweden | |
80 | SG, Singapore | 27 | RU, Russia | |
71 | CH, Switzerland | 27 | CH, Switzerland | |
69 | SE, Sweden | 26 | CA, Canada | |
48 | DK, Denmark | 20 | AT, Austria | |
45 | IE, Ireland | 13 | DK, Denmark | |
40 | AU, Australia | 12 | IE, Ireland | |
39 | AT, Austria | 12 | AU, Australia | |
38 | BR, Brazil | 11 | NO, Norway | |
33 | FI, Finland | 10 | FI, Finland | |
29 | PL, Poland | 10 | BR, Brazil | |
25 | RU, Russia | 9 | SI, Slovenia | |
21 | JP, Japan | 7 | UA, Ukraine | |
18 | IT, Italy | 7 | PL, Poland |
Dat heeft ongetwijfeld te maken met de Nederlandse koppositie op gebied van DNSSEC-ondertekening (een voorwaarde voor het gebruik van DANE), met de relatief grote rol die Nederland speelt in de Europese internet-infrastructuur en hosting, en natuurlijk met het feit dat DANE ook voor uitgaande mail begin dit jaar door het Forum Standaardisatie op de pas-toe-of-leg-uit lijst is gezet. Anders dan in Zweden hebben wij voor de .nl zone geen incentive-regeling voor DANE, maar hier zijn wel plannen voor.
De .nl-zone
Dukhovni krijgt maar van een beperkt aantal registry's (waaronder SIDN) cijfers over de adoptie van DANE voor mail in hun zone aangeleverd. Bovendien zitten er verschillen in de gebruikte meetmethoden. Voor de andere TLD's moet hij het doen met metingen gedaan door scanners (passief) en crawlers (actief). Dat maakt het lastig om landen onderling te vergelijken.
Over de situatie voor .nl kunnen wij vanzelfsprekend wel iets zeggen. Op de statistieken-site van SIDN Labs kun je zien hoe het aantal DANE-beveiligde mail-domeinen het afgelopen half jaar exponentieel is gegroeid tot 335 duizend eind februari. Die ontwikkeling sluit perfect aan bij de hierboven getoonde grafiek van DNSSEC-Tools voor de wereldwijde adoptie van DANE, en dat is natuurlijk ook niet verwonderlijk als je ziet dat .nl daarin een substantiële bijdrage levert.
Meetmethoden
Tegelijkertijd moeten we hierbij aantekenen dat wij voor deze grafiek weer een andere meetmethode gebruiken dan Dukhovni. Waar wij elke mail-domein dat één DANE-beveiligde MX gateway heeft meerekenen, telt hij alleen de domeinen mee waarvan alle primaire gateways een TLSA record hebben. Op die manier komt hij voor de .nl-zone op een getal van 226 duizend, en dat verschil geeft weer een indicatie van hoeveel domeinen alleen DANE op de fallback gateways hebben, waarschijnlijk die van hun service provider.
Ongeacht alle onderlinge verschillen in aanpak en meetmethode, is de trend echter duidelijk: sinds kort stijgt het aantal DANE-beveiligde mail-domeinen hard, en daarmee doet deze ontwikkeling erg denken aan de adoptie van DNSSEC-ondertekening een aantal jaar geleden.
Beveiliging control panels
Nieuwkomer in the DANE-statistieken is managed services provider Prolocation. Zij voorzagen de door hun beheerde domeinnamen (4.900 stuks) begin dit jaar van DANE. Volgens Raymond Dijkxhoorn, systeem/netwerkspecialist bij Prolocation, was dat voor hen relatief makkelijk om te doen. "Wij waren samen met SURFnet betrokken bij de ontwikkeling van de DANE-standaard destijds, dus we waren er vroeg bij. Omdat ons control panel daarbij werd gebruikt, hadden wij de provisioning van DANE als eerste live. En nu zijn we dus operationeel met een interface waarin de klant zijn gegevens voor DANE kan invoeren."
Directe aanleiding was de bouw van de website voor de One Conference, die natuurlijk 100% moest scoren op de tests van Internet.nl.
De opkomst van DANE voor het web laat volgens Dijkxhoorn nog wel even op zich wachten. "Daar mist een partij die aanvullende validatie doet zoals dat nu voor EV-certificaten gebeurt."
En voor de vervanging van de eenvoudige TLS-certificaten wordt nu veelal het gratis 'Let's Encrypt' ingezet. In zekere zin fungeert dit initiatief dus als rem op de introductie van het robuustere DANE voor het web in combinatie met self-signed certificaten. Bovendien zien klanten volgens Dijkxhoorn regelmatig over het hoofd dat de automatisering van de vereiste/afgedwongen updates van deze "gratis" certificaten aanzienlijk meer kost dan de incidentele aanschaf van een commercieel certificaat.
Als het gaat om de veiligheid zou Dijkxhoorn echter liever meer aandacht willen voor de beveiliging van control panels. "We zien veel hacks op de control panels van registrars, waarmee de cryptografische beveiliging simpelweg omzeild kan worden. Het zou goed als SIDN daar bijvoorbeeld richtlijnen voor zou ontwikkelen."