Aide Posteo Thèmes de l'aide Article

Mot(s)-clé(s) de l'article : ChiffrementChiffrement lors de l'acheminement

Pourquoi la technologie DANE/TLSA augmente-t-elle la sécurité?

Depuis mai 2014, Posteo utilise la technologie innovante DANE/TLSA (DNS-based Authentification of Name Entries). Celle-ci répare plusieurs failles du protocole de sécurisation des échanges SSL/TLS, largement répandu. Ainsi, DANE augmente la sécurité lors de l’acheminement chiffré des e-mails et de l’accès aux sites internet.

Posteo exécute le chiffrement DANE en arrière-plan : vous n’avez rien à faire.

Sécurisation de Posteo par DANE

À l’aide de DANE, ce qu’on appelle les « empreintes digitales » d’un certificat de chiffrement sont enrégistrées dans « l’annuaire » d’Internet (DNS). Elles peuvent y être vérifées automatiquement par les navigateurs, les serveurs et les clients de messagerie avant la connexion chiffrée à une page ou la transmission d’un e-mail. Ainsi, l’authenticité d’un serveur peut être vérifiée avant chaque connexion. Jusqu’à présent, la plupart des serveurs envoyaient des données via des connexions chiffrées sans vérifier au préalable l’authenticité de l’autre serveur. DANE empêche efficacement des tiers (criminels, services secrets) de se faire passer pour un serveur web ou un serveur de messagerie afin d’accéder à vos données d’accès ou à vos contenus (certificats falsifiés).

Les entrées de « l’annuaire » d’Internet seront doublement sécurisées à l’aide de la technologie DNSSEC pour que DANE soit accepté. DNSSEC empêche des tiers de modifier des entrées et d’échanger les « empreintes digitales » des certificats de chiffrement. Malheureusement, la plupart des hébergeurs ne prennent pas encore en charge DNSSEC. Nous-mêmes avons été obligés de changer d’hébergeur avant d’introduire DANE.

Sécurisation de Posteo par DANE 2

Des connexions chiffrées sont obtenues par la force

DANE ouvre des nouvelles possibilités sur d’autres plans : à l’aide d’une compatibilité DANE, les serveurs de messagerie peuvent désormais établir des connexions chiffrées par la force. Jusqu’à présent, les serveurs de messagerie évaluaient à chaque fois si chacun d’entre eux prenait en charge le chiffrement de la connexion avant de l’établir. Posteo a déjà configuré ses serveurs ainsi : si d’autres prestataires ont eux aussi une compatibilité DANE, Posteo transmet les données à leur serveur uniquement via des connexions chiffrées. S’il est impossible d’établir une connexion chiffrée, l’envoi de l’e-mail est annulé pour des raisons de sécurité. C’est ainsi que l’on peut prévenir les attaques de type « homme du milieu (HDM) » et bien plus encore.

Une alternative ouverte et globalement exploitable à l’initiative « E-Mail Made in Germany »

Ce procédé est aussi important pour la raison suivante : avec DANE, les serveurs de messagerie peuvent s’authentifier dans le monde entier et garantir les uns aux autres que des e-mails seront transmis uniquement via des connexions chiffrées. C’est différent dans le cas de « E-Mail Made in Germany », une initiative de quelques fournisseurs de messagerie allemands qui excluent tous les autres serveurs e-mail en garantissant des connexions chiffrées à leurs clients uniquement.
Posteo souhaite dépasser cette volonté d’isolement de certains prestataires allemands : un réseau global exige des améliorations globales en matière de sécurité des communications à travers des standards ouverts uniformes.

Puisque cette technologie est encore peu répandue, il n’existe que peu de logiciels et de prestataires qui prennent en charge DANE. Pour cette raison, nous voulons donner le bon exemple pour promouvoir la diffusion de ce procédé essentiel. Dorénavant, DANE contribuera de façon significative à sécuriser les communications internet.

Pour tous les navigateurs courants, il existe néanmoins des extensions DANE avec lesquels les internautes peuvent sécuriser leur accès à Posteo. Sur la page suivante, vous trouverez une liste de toutes les extensions déjà disponibles. Nous ne proposons pas d’assistance pour les extensions et les outils de vérification. Merci de votre compréhension.

La technologie n’est encore installée directement dans aucun navigateur. Nous espérons que les fournisseurs DANE et DNSSEC complèteront bientôt leur offre. Nous voulons également inciter d’autres fournisseurs de messagerie à mettre en place DANE afin que la communication entre les serveurs de messagerie via les connexions chiffrées devienne plus sûre.

Articles externes à propos de notre introduction de DANE (en allemand)

Heise.de: Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein

Spiegel-Online: E-Mail-Transport: Posteo unterstützt Verschlüsselungstechnik DANE