.FILE 2G 3G 4G 5G
Till startsidan BETA

Test för moderna internetstandarder

Vad är STARTTLS / DANE?

E-post skickas ofta mellan olika servrar på internet innan den når mottagaren. Under den resan kan informationen i vissa fall gå att avlyssna eller manipuleras – särskilt om kommunikationen inte är krypterad. STARTTLS och DANE är två tekniker som tillsammans kan bidra till att e-posttrafik skyddas bättre.

Många tänker på e-post som något privat, men traditionellt har e-post fungerat mer som ett vykort än ett brev. Om ett mejl skickas utan kryptering under transporten kan innehållet i värsta fall läsas av någon som har tillgång till nätverket mellan avsändaren och mottagaren.

En man sitter vid ett skrivbord med en laptop på, han har VR-glasögon på sig.

Idag skickas stora mängder e-post med någon form av kryptering, men det finns fortfarande risker. Kryptering är inte alltid garanterad, och i vissa situationer kan den nedgraderas eller kringgås.

STARTTLS krypterar när det är möjligt

STARTTLS är en funktion som instruerar en e-postserver att uppgradera en befintlig okrypterad anslutning till en krypterad, med hjälp av till exempel TLS (Transport Layer Security) eller SSL.

Fler testverktyg från Internetstiftelsen

När två e-postservrar kommunicerar vid överföring av mejl kan STARTTLS användas för att säga: "Vi kan kryptera den här anslutningen, om du också kan det."

STARTTLS är opportunistisk. Det betyder att kryptering bara används om båda sidor stöder det. En av riskerna är att en angripare kan försöka göra en så kallad downgrade attack. Det innebär att angriparen på något sätt hindrar STARTTLS från att användas, så att kommunikationen faller tillbaka till okrypterad trafik.

En annan utmaning är att TLS bygger på certifikat. Om valideringen är otillräcklig, kan en angripare i vissa scenarier ändå lyckas agera mellanhand och ta del av informationen. Det är här DANE kommer in.

DANE binder krypteringen till DNS

DANE står för DNS-based Authentication of Named Entities. Det är en teknik som gör det möjligt att publicera information om vilka TLS-certifikat en tjänst ska använda – direkt i DNS.

DANE använder särskilda DNS-poster för att tala om vilket certifikat som är korrekt för en viss server eller tjänst. DANE-funktionen kräver att DNS är skyddat med DNSSEC, så att informationen i DNS inte kan förfalskas.

På så sätt kan DANE hjälpa en mottagande epost-server att kontrollera att TLS-anslutningen verkligen sker med rätt certifikat – och att krypteringen inte har manipulerats på vägen.

Vidare läsning

Bygger på
Internet.nl är ett initiativ från Internetsamfundet och den Holländska regeringen.
Programversion
v202603.02
API-version
v0.9.6
Internet.nl
v1.0.4