Graag brengen we u op de hoogte van technische wijzingen die hebben plaats gevonden die de veiligheid van Formdesk verhogen.
Vorige week zijn de Formdesk domeinen verhuist naar een DNS-server van TransIP. Deze verhuizing was wenselijk omdat wij bepaalde faciliteiten willen gebruiken die door veel DNS-servers niet worden geboden. De eerste 2 punten hieronder hebben hier betrekking op.
DNSSEC
DNSSEC is een cryptografische beveiliging die een extra beschermlaag toevoegt aan het DNS-protocol. Het Domain Name System (DNS) verzorgt de vertaling van domeinnamen naar IP-adressen. Zo moet uw computer (de client) een name-server raadplegen voor het adres www.formdesk.com alvorens contact te kunnen zoeken met de webserver op het IP-adres 62.204.92.157. Ook e-mail maakt gebruik van dit systeem.
DNSSEC is een cryptografische beveiliging voor het DNS-protocol. Clients ontvangen van de name-server adres-informatie voorzien van een digitale handtekening. Zo worden de integriteit van de name-server en het transport van de DNS-informatie beschermd. De winst van DNSSEC? Weet een kwaadwillende de DNS-informatie onderweg of bij de client te veranderen (DNS spoofing), dan kan deze de internet-gebruiker naar een identieke maar valse webserver leiden. Op die manier kunnen vertrouwelijke gegevens worden gestolen. DNSSEC beschermt de name-server en het transport van de DNS-informatie.
DNS CAA
Met een Certificate Authority Authorization record, oftewel een CAA DNS record, kan worden aangegeven welke certificaat uitgevende instanties (Certificate Authorities) certificaten mogen uitgeven voor het betreffende domein. Een CA wordt geacht bij de aanvraag van een certificaat te controleren of er voor het betreffende domein een CAA record is en hij daar is vermeld. Zo wordt voorkomen dat foutieve of fraudulente certificaten worden uitgegeven.
3DES cipher
Bij SSL encryptie (HTTPS) kan gebruik worden gemaakt van verschillende encryptie algoritmes, zogenaamde ciphers. De sterkst mogelijke encryptie wordt gekozen waarbij de beperking wordt opgelegd door de client, oudere browsers en besturingssystemen bieden vaak geen sterke encryptiemogelijkheid. Een server biedt een scala aan ciphers aan in een cipher suite. Op een zeker moment wordt een zwakkere cipher gekraakt en als onveilig bestempeld. Recent geldt dat voor 3DES ciphers en daarom hebben wij de TLS_RSA_WITH_3DES_EDE_CBC_SHA cipher uit de suite verwijderd. Als gevolg hiervan kunnen er geen formulieren meer versleuteld worden verzonden als gebruik gemaakt wordt van Windows XP in combinatie met Internet Explorer 8.
