S/MIME

Inhoudsopgave

    Status

    Lijst status
    • ‘Verplicht (pas toe of leg uit’) betekent dat de standaard verplicht moet worden uitgevraagd en toegepast volgens de Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten.
    • ‘Aanbevolen’ betekent dat dit een gangbare of opkomende standaard is waarvan het Forum Standaardisatie het gebruik aanbeveelt.
    • ‘In behandeling’ wil zeggen dat de standaard wordt getoetst voor opname op de lijst.
    • ‘Archief’ betekent in het verleden op de lijst gestaan heeft of in behandeling geweest is en nu niet (meer) verplicht of aanbevolen is.
    Aanbevolen
    Functioneel toepassingsgebied

    Beschrijft de toepassing(en) waarvoor het gebruik van de standaard verplicht is of aanbevolen wordt (afhankelijk van de lijststatus).

    S/MIME kan worden toegepast op het digitaal ondertekenen van e-mail berichten wanneer aanvullende beveiliging nodig is.

    Europese status

    ‘Ja’ betekent dat de standaard is erkend door het Multi Stakeholder Platform on ICT Standardisation van de Europese Commissie.

    Nee

    Nut en werking

    Typering
    E-mail beveiliging 
    Nut

    Waar een hoog niveau van e-mail beveiliging nodig is kan S/MIME toegevoegde waarde bieden ten opzichte van de standaarden SPF, DKIM en DMARC op de pas-toe-of-leg-uit lijst van het Forum Standaardisatie. S/MIME waarborgt naast de betrouwbaarheid van de afzender namelijk ook de integriteit (door digitale tekening) van de inhoud van de e-mail tussen de verzendende en ontvangende e-mail applicatie ('end-to-end').

    Werking

    S/MIME is een standaard voor de ondertekening en versleuteling van e-mail tussen gebruikersapplicaties ('end-to-end'). De verzender ondertekent en/of versleutelt zijn mail met behulp van een certificaat dat de ontvanger op echtheid kan controleren, net als bij https en TLS.

    In mei 2018 werd een veiligheidsprobleem gepubliceerd dat S/MIME raakt (zie https://efail.de). Als gevolg hiervan adviseert het Nationaal Cyber Security Centrum (https://www.ncsc.nl) om S/MIME alleen nog te gebruiken voor digitale ondertekening, en niet meer voor versleuteling van e-mail.

    Domein
    Relatie met andere standaarden
    Relatie met andere standaarden
    Relatie met andere standaarden
    Trefwoorden

    Detailinformatie

    Volledige naam

    Secure Multipurpose Internet Mail Extensions

    Versie
    3.2
    Specificatiedocument
    Beheerorganisatie
    IETF

    Toepassing

    Community

    Organisaties waar men terecht kan voor adoptieondersteuning, best practices, use cases en informatie over de standaard.

    De standaard is in beheer bij de internationale organisatie IETF. Er is ondersteuning in het gebruik van de standaard vanuit IETF, waar een community bestaat. Grote softwareleveranciers zoals Microsoft, Apple, Mozilla en Google ondersteunen S/MIME.

    Toetsingsinformatie

    Toelichting bij opname

    S/MIME biedt een hoger beveiligingsniveau voor e-mail dan de standaarden SPF, DKIM en DMARC op de pas-toe-of-leg-uit lijst, maar is ook aanzienlijk kostbaarder om toe te passen.  S/MIME vereist dat iedere afzonderlijke gebruiker wordt voorzien van een certificaat - certificaten uitgegeven door een betrouwbare autoriteit vertegenwoordigen een significante kost. Vooral organisaties die de hoogste categorie van beveiliging bij mailverkeer nastreven zullen baat hebben bij de complexe implementatie van de standaard.

    De oudere standaard PGP biedt vergelijkbare functionaliteit als S/MIME. Hoewel PGP minder toekomstperspectief lijkt te hebben dan S/MIME, wordt deze standaard ook nog actief gebruikt. S/MIME en PGP kunnen naast elkaar gebruikt worden.

    Adoptieadviezen

    De formele adoptieadviezen die het Forum Standaardisatie meegeeft bij plaatsing op de lijst open standaarden.

    Ten aanzien van de adoptie van de standaard worden de volgende oproepen gedaan:

    • Oproep aan gebruikende organisaties voor het opstellen van een handreiking voor de implementatie/het gebruik van S/MIME bij de meest voorkomende e-mailapplicaties. Bijvoorbeeld opname op internet.nl.
    • Oproep aan gebruikende organisaties om een businesscase op te stellen. Dit helpt organisaties die nadenken over mogelijk gebruik van de standaard.
    • Oproep aan softwareleveranciers om bij webmail-omgevingen meer ondersteuning van S/MIME te bieden.
    Uitstekend beheer
    • ‘Ja’ betekent dat nieuwe versies van de standaard op de lijst worden overgenomen zonder aanvullende toetsing door het Forum Standaardisatie.
    • ‘Nee’ betekent dat nieuwe versies van de standaard door het Forum Standaardisatie eerst worden getoetst voordat ze de huidige versie op de lijst kunnen vervangen.
    Nog niet getoetst
    Expertadvies

    20180222 Expertadvies S-MIME_0

    PDF Document | 467.31 KB
    12 maart 2020 (14:07)
    Consultatie

    20180401 Reacties uit openbare consultatie SMIME 3.2

    PDF Document | 134.45 KB
    12 maart 2020 (14:07)
    Consultatie

    Commentaar-uit-de-openbare-consultatie-SMIME

    PDF Document | 186.83 KB
    12 maart 2020 (14:07)
    Intakeadvies

    FS171113.4F-intakeadvies-S_MIME

    PDF Document | 281.29 KB
    12 maart 2020 (14:07)
    Forumadvies

    FS180425.3G-Forum-advies-S-MIME-3.2

    PDF Document | 166.05 KB
    12 maart 2020 (14:07)
    Toelichting

    FS181010.3-Oplegnotitie-Lijsten-Open-Standaarden_0

    PDF Document | 292.28 KB
    12 maart 2020 (14:07)
    Datum van aanmelding

    Datum waarop een organisatie de standaard heeft aangemeld voor opname op de lijst van aanbevolen of verplichte open standaarden. Als een standaard voldoet aan de criteria om in behandeling genomen te worden, vindt een toetsingsprocedure plaats. Deze duurt ongeveer een 6 maanden.

    24-10-2017

    Datum van besluit

    Datum waarop het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft besloten de standaard op de lijst te plaatsen.

    29-11-2018