De Cybersecurity test site internet.nl is een prachtig stuk gereedschap om te testen wat de veiligheidsstatus is van een domein op het gebied van websites en email. Een tool die wij tot op heden ook veel gebruiken. Echter sinds de laatste update van de tool komt naar onze mening de site wat verder van de praktische realiteit af te staan. En dat is ansicht niet erg want ze dienen een idealistisch doel, ware het niet dat er wel een onveilig/veilig statement wordt afgegeven.

In deze blogpost willen wij toelichten waarom enerzijds deze tool ontzettend nuttig en belangrijk is, en anderzijds hoe een bedrijf is overgeleverd aan grote technologie leveranciers van email en websites.

De website test

Uiteraard hebben wij ook een website, anders kon u deze blogpost niet eens lezen. Deze website heeft een zeer sterke security configuratie, en we hebben de website beschermd tegen DDoS-aanvallen en zogenoemde webapplicatie-aanvallen. Dit doen we onder andere (maar niet alleen) met Cloudflare.

Nu zou u wellicht denken dat wij een score van 100% krijgen. Niets is minder waar, nou, tot voor kort althans. Sinds internet.nl nieuwe controles heeft ingevoerd is onze score gezakt naar 95%. Nu is dat nog steeds een goede score, maar het volgende wordt nu gezegd over onze verbinding van de website: Verbinding niet of onvoldoende beveiligd (HTTPS). En dat is wel een beetje veel uit zijn verband gerukt.

Bij het gebruik van Cloudflare zijn sommige zaken niet te configureren. Zo kunnen wij niet bepalen welke versleutelingstechnieken er precies ingezet worden. Wel weet ik dat de kwetsbaarheden die internet.nl meent te vinden, bij Cloudflare niet bestaan of op een andere manier opgelost zijn. Enerzijds omdat ze specifieke configuraties alleen toepassen in situaties waarin het kan, en anderzijds dat zij continu controleren of het internetverkeer niet kwaadaardig is.

Het internet werkt door een technologie dat Internet Protocol, of kortweg IP, heet. Onze website heeft IP versie 6 (IPv6) door Cloudflare. Maar onze webserver is alleen over IP versie 4 (IPv4) te benaderen. Hier zit weinig verschil in veiligheid in, maar toch wanneer internet.nl ziet dat IPv6 niet ondersteund wordt, komt er gelijk een rood kruis te staan. Voor websites die nog niet zo ver zijn wordt dus een lagere score gegeven, terwijl IPv6 niet zo veel van doen heeft met veiligheid.

Maar lang verhaal kort, door Cloudflare hun configuratie en internet.nl hun test wordt onze site nu als minder veilig bestempeld. Maar wees gerust, u bent hier prima veilig hoor!

De email test

De test op het gebied van email is nog wat lastiger. Nu heeft politie.nl zelfs een score van 100% gehad, maar ook zij zijn inmiddels gezakt naar een score van 97%. Onze grote complimenten overigens voor de Nederlandse Politie, want een score van 97% is nagenoeg niet haalbaar voor ontzettend veel organisaties, zowel klein als groot.

Hieronder zetten wij twee situaties uiteen die veel voorkomen bij bedrijven. Echter zult u zien dat het gebruik van Microsoft Office 365 of Google Suite Gmail betekent dat de score niet eens boven de 75% kan komen.

Microsoft Office 365 (Exchange Online)

Stel uw organisatie maakt gebruik van Microsoft Office 365. Dan heeft u wellicht ook uw email daar gestationeerd en doet u dus al uw email werk vanuit de Cloud. Uit ervaring weten we dat er niet zo veel veranderd kan worden aan de instellingen op het gebied van email en diens versleutelingstechnieken.

Wij hebben ook een domein met Microsoft Office 365 getest. Wanneer dat domein getest wordt met internet.nl, dan is de maximale score 65%. Hoger kunt u hem simpelweg zelf niet krijgen. Daarbij worden de volgende meldingen gegeven: Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6), Niet alle domeinnamen ondertekend (DNSSEC) en Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE).

Alle bevindingen die internet.nl weergeeft, zijn allemaal stuk voor stuk bevindingen die Microsoft moet oplossen op hun Microsoft Office 365 platform. U kunt ze zelf niet oplossen door het aanpassen van instellingen. En het zijn ook echt bevindingen, en uw bedrijf krijgt dus een slechte score door Microsoft. Maar dus ook wel een beetje omdat internet.nl net wat te strict naar zaken kijkt.

Een duidelijke daarvan is de techniek DANE. Wij zijn nog maar één organisatie tegengekomen (en het zijn er zeker meer) en dat is wederom politie.nl. DANE wordt nog weinig gebruikt, terwijl MTA-STS met een soortgelijk doel als DANE al wat bekender is. Echter MTA-STS maakt geen onderdeel uit van de test.

Getest domein is hansminten.com: https://internet.nl/mail/hansminten.com/309633/

Google Suite (Gmail)

Wanneer uw organisatie gebruik maakt van Gmail van Google Suite (de zakelijke variant) dan is de score wat hoger dan bij Microsoft Office 365. Echter komt de score nog steeds niet boven de 75% uit. Maar daarmee is het in absolute zin niet veiliger dan Microsoft Office 365. Ironisch genoeg is het juist onveiliger. De meldingen zijn als volgt: Niet alle domeinnamen ondertekend (DNSSEC) en Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE).

Dat de score hoger uitvalt komt door de ondersteuning voor wederom die IPv6. Wanneer echter gekeken wordt naar de daadwerkelijke security configuratie van email, zien we dat de Cipher-volgorde bij Google Suite niet goed is, en bij Office 365 juist wel. Voor de rest is de score identiek. Dus wel IPv6 en geen juiste Cipher-volgorde is volgens internet.nl een veiligere domein dan de situatie omgedraaid. En dat is gewoon niet waar.

Nu hebben we via ons netwerk al eens de tip gekregen om de alternatieve mail-servers van Google te gebruiken (mx1.smtp.goog; mx2.smtp.goog; mx3.smtp.goog; mx4.smtp.goog), want op deze servers zijn wat security verbeteringen doorgevoerd. Echter konden we hiervoor totaal geen officiële en onofficiële documentatie vinden.

Daarop hebben we contact gezocht met Google Support, om te verifiëren wat de legitimiteit hiervan is. Zelfs de Google medewerker moest zoeken voor een antwoord. Het blijkt inderdaad wel legitiem te zijn, maar het betreft een configuratie dat voorlopig nog wel in testfase is. We kregen ook de uitdrukkelijke waarschuwing om het niet te gebruiken, want er zijn totaal geen garanties dat het goed blijft werken en dat de domeinen blijven bestaan. En dat is een groot risico voor een bedrijf dat afhankelijk is van email.

Getest domain is teusink.eu: https://internet.nl/mail/teusink.eu/309627/

Reflectie

Zo ziet u dat we redelijk overgeleverd zijn aan bedrijven die de generieke infrastructuur dienen van het internet van ons allemaal. Of dat nu Microsoft, Google, Cloudflare is, of Nederlandse bedrijven als KPN en Ziggo, zij bepalen voor een belangrijk deel de veiligheid van uw en ons internet. En hoewel er organisaties tussen zitten die het erg goed doen, uiteindelijk heeft u met uw organisatie er maar weinig invloed op.

Het testen van veiligheid is goed, en zelfs erg belangrijk. Het is immers niet voor niets een groot deel van onze business. En met internet.nl is ook niets mis, blijf het vooral gebruiken. Het is alleen ontzettend belangrijk om de score in perspectief te plaatsen, want zelf nadenken over wat belangrijk is voor uw organisatie blijft een must.

En wellicht kan internet.nl nog wat sterker de pijlers richten op de tech-organisaties om daar meer invloed uit te oefenen. Want van veel infrastructuur zijn we inmiddels van hen afhankelijk.