De afgelopen weken stonden in het teken van technische optimalisaties voor ons hostingplatform. Hoewel je deze verbeteringen misschien niet meteen opmerkt, heb je er absoluut baat bij. DANE, nóg veiligere e-mail en betere bereikbaarheid over IPv6. Graag vertel ik je wat meer over een aantal van deze mooie projecten waaraan ik heb meegewerkt!
DANE voor je domeinnaam
De introductie van DANE bij domeinnamen die zijn gekoppeld aan webhosting, is misschien wel het meest zichtbare project uit het rijtje. Op onze social media plaatsten we al een post over de uitrol hiervan. We hebben al onze mailservers voorzien van nieuwe certificaten en 170.000+ domeinnamen een TLSA-record gegeven. Best een flinke klus, maar erg leuk om aan te werken.
Wat is DANE?
Je hoort de term wellicht vaker voorbij komen, maar wat houdt DANE eigenlijk in? DANE staat voor DNS-based Authentication for Named Entities. Het koppelt de chain of trust van een DNSSEC-beveiligd domein aan het certificaat op een dienst, zoals in dit geval e-mail of SMTP.
Het SMTP-protocol op poort 25 – dat wordt gebruikt voor het afleveren van e-mail tussen mailservers – maakt gebruik van STARTTLS. Dit is een vorm van opportunistische TLS. Dat wil zeggen dat de server alleen een beveiligde verbinding opzet, wanneer hij ziet dat de ontvanger dit ondersteunt. Een kwaadwillende kan er dan voor zorgen dat de verzender niet ziet dat de ontvanger een veilige verbinding kan opzetten. De verzender valt dan terug naar een onbeveiligde connectie, waardoor de kwaadwillende kan meelezen.
Met DNSSEC op je domein en een TLSA-record voor je mailserver maak je de beveiligde verbinding een stuk minder opportunistisch. Dit record wordt specifiek toegevoegd voor je MX-record. Dit MX-record verwijst naar de server waar mail voor je domein afgeleverd moet worden. Dankzij de chain of trust van DNSSEC ben je ervan verzekerd dat de inhoud van deze records klopt.
Een TLSA-record bevat informatie over het certificaat dat de verzendende mailserver kan verwachten bij het gebruik van STARTTLS. Dit maakt ook het ondersteunen van STARTTLS niet meer optioneel. Is het certificaat onjuist of zegt de server geen beveiligde verbinding te ondersteunen? Dan klopt er dus iets niet en wordt de e-mail niet afgeleverd. Zo weet je zeker dat er onderweg niemand meeleest met je e-mails.
Ben jij de netwerkheld die we zoeken?
We zijn op zoek naar Linux-beheerders en DevOps Engineers. Lijkt het je leuk om met een hecht team te werken aan een stabiel en veilig hostingplatform? Solliciteer en wie weet tot snel!
SPF en DMARC voor losse domeinnamen
We werkten ondertussen ook aan een ander mooi project. Dat bestond uit het toevoegen van SPF– en DMARC-records aan domeinen die niet aan webhosting zijn gekoppeld. Hierdoor zijn deze adressen minder kwetsbaar voor spoofing geworden. We hebben de records toegevoegd bij alle bestaande domeinen en gezorgd dat dit bij nieuwe domeinen vanzelf gaat. Daarnaast hebben we de mailserver voorzien van een nieuw certificaat met bijbehorend TLSA-record.
Waarom hier geen DKIM?
Met een losse domeinnaam wordt ontvangen e-mail alleen doorgestuurd. Er wordt dus niets vanaf ons platform verzonden. Mocht je een externe dienst gebruiken die namens je domeinnaam e-mail verstuurt, dan kun je natuurlijk wel DKIM-records toevoegen aan de DNS-zone.
Uitfasering van TLS 1.0 en 1.1
Als project hebben we ook de TLS-versies 1.0 en 1.1 uitgeschakeld. Deze verouderde beveiligingsprotocollen zijn inmiddels verbeterd en veiliger gemaakt in TLS 1.2 en 1.3. Ook hebben we cipher suites uitgefaseerd die volgens de richtlijnen van het NCSC onveilig of risicovol zijn. Door dit te doen, houden we ons platform up-to-date met de huidige beveiligingsstandaarden.
Verbeterde IPv6-bereikbaarheid
Constante verbetering vinden we ontzettend belangrijk. Daarom kijken we altijd naar manieren om ons platform te moderniseren en optimaliseren. Zo voegen we al geruime tijd IPv6-adressen toe aan onze hostingpakketten. Nu viel ons op dat een deel van de door ons gehoste domeinnamen echter niet voorzien was van IPv6. Dat was opvallend en wilden we natuurlijk oplossen.
We gingen op onderzoek uit, vonden al snel de oorzaak en verbeterden onze automatisering. Handmatig een IPv6-adres koppelen aan extra domeinnamen die je voor je pakket bestelt, is hierdoor verleden tijd. Nu dit is aangepakt, heb je er geen omkijken meer naar. Zo hoef je niet zelf meer na te gaan of je IPv6 hebt voor je website.
Ook voor resellers hebben we het makkelijker gemaakt. Het IPv6-adres van het reseller-account wordt nu vanzelf gekoppeld aan de onderliggende gebruikers. Net als bij de andere hostingpakketten geldt ook hier dat je automatisch IPv6 hebt voor domeinnamen die je toevoegt of wijzigt.
Samenwerken op afstand
Tot slot nog iets over misschien wel het belangrijkste van al deze projecten: de samenwerking. De uitdagingen van een project zitten namelijk niet alleen bij de technische uitvoering. Voor de succesvolle afronding van een plan heb je het hele team nodig, wat door het thuiswerken soms best lastig is.
Als systeembeheerder werk je samen met Support om complexe problemen op te lossen. Ook zit je met Development om tafel om aanpassingen te doen in Mijn Antagonist en heb je overleg met Marketing over het communiceren van waar we nu zo hard aan werken. En dit allemaal via videobelgesprekken.
Ondanks de afstand is het enthousiasme voor deze projecten er niet minder om geworden. Samen hebben we ervoor gezorgd dat ons hostingplatform weer een stukje veiliger is. Ik ben dan ook trots op al deze verbeteringen, zowel de zichtbare als meer onzichtbare. Op naar nog meer mooie projecten!
P.S. Blijf op de hoogte en volg ons via Facebook, Twitter, Instagram, e-mail en RSS. Heb je vragen, tips of opmerkingen? Laat het achter als reactie. Vond je het artikel nuttig? Deel het dan met anderen!
Las net het stuke Verbeterde IPv6-bereikbaarheid. Dit is inderdaad gemaakt, ik zie nu dat mijn domein IPv6. Echter voor de domainpointers is er geen IPv6-bereikbaarheid ingericht.
Bedankt voor je feedback, Robby! We onderzoeken dit graag verder. Zou je hiervoor een e-mail naar support@antagonist.nl willen sturen? Als je daarin naar dit blog verwijst en benoemt om welke domeinen het precies gaat, dan kunnen we het gericht voor je nakijken. Alvast bedankt!
Mooi te zien hoe jullie met elkaar samenwerken en dat in deze tijd!
Bedankt voor je reactie, Yvonne. We proberen er met zijn allen het beste van te maken!