De Amerikaanse burgerrechtenorganisatie Electronic Frontier Foundation heeft het project Starttls Everywhere aangekondigd. Dat is gericht op beheerders van e-mailservers, die met behulp van bijbehorende tools starttls kunnen configureren, zodat e-mails tussen servers zijn versleuteld.

starttls

In een aankondiging van het initiatief stelt de EFF voorop dat de adoptie van starttls inmiddels op 89 procent zit, vergeleken met 39 procent vijf jaar geleden. Dat zou niet wegnemen dat er problemen zijn met de techniek, die verkeer tussen mailservers over een versleutelde verbinding laat verlopen. Er is dus geen sprake van end-to-endencryptie. Het eerste probleem is volgens de organisatie dat vrijwel niemand certificaten controleert, wat er weer toe leidt dat weinig certificaten worden aangeboden. Daardoor kan een actieve aanvaller bijvoorbeeld nog steeds verkeer onderscheppen.

Het tweede probleem is dat zelfs als gebruik wordt gemaakt van een geldig certificaat, het nog steeds mogelijk is om een downgrade-aanval uit te voeren. Starttls zorgt er namelijk voor dat twee servers overeenkomen een beveiligde tls-verbinding te gebruiken, maar die eerste 'afspraak' verloopt onversleuteld, aldus de EFF. Daardoor kan een aanvaller het doen voorkomen dat geen van beide servers ondersteuning biedt voor starttls. De organisatie bespreekt de technieken DANE en MTA-STS, die hiervoor een oplossing moeten bieden, maar komt tot de conclusie dat die niet toereikend zijn. Zo kan Dane worden gebruikt om aan te geven dat een bepaald domein versleutelde verbindingen ondersteunt, maar dat is afhankelijk van dnssec, dat weer een laag adoptiepercentage kent.

De EFF wil deze problemen aanpakken met zijn Starttls Everywhere-project. Een eerste stap is dat Postfix-beheerders gebruik kunnen maken van een Certbot-plug-in om geldige certificaten voor hun mailserver te genereren. Sommigen zullen Certbot kennen van Let's Encrypt, waar de EFF eveneens bij is betrokken. Plug-ins voor Dovecot en Sendmail zijn nog in ontwikkeling. Vervolgens wil de organisatie downgrade-aanvallen aanpakken door een zogenaamde policy list te hosten, waar mailservers op staan die starttls gebruiken. Beheerders kunnen hun server aan de lijst toevoegen via de site van het project; organisaties als Gmail en Outlook staan er al op. Op de site kunnen gebruikers ook hun e-maildomein op veiligheid controleren.