Brief aan Microsoft over het gebruik van DNSSEC en DANE

Content

Vergadering: Forum Standaardisatie 11 december 2019

Agendapunt: 5c

Documentnummer: FS-20191211-5B

Deze pagina geeft alleen de inhoud van de brief van het Strategisch Leveranciersmanagent Rijk aan Microsoft weer. Om de opmaak van de brief te zien kan u de PDF versie van deze brief downloaden. Wij kunnen de digitale toegankelijkheid van het PDF bestand niet garanderen.

Inhoud van de brief

Van: Paul van den Berg, Strategisch Leveranciersmanager Microsoft Rijk

Aan: Microsoft Nederland B.V.

Datum: 18 november 2019

Onderwerp: DNSSEC en DANE

Geachte heer/mevrouw,

Naar aanleiding van uw brief van 7 november 2019 betreffende ‘gebruik DANE en DNSSEC’ treft u hieronder onze reactie aan.

Op 31 juli 2019 stuurde SLM Microsoft Rijk u een brief met een verzoek voor de ondersteuning van DNSSEC en DANE op Office365. In deze brief informeerden wij u dat DNSSEC en DANE op de binnen de overheid verplichte ‘pas-toe-of-leg-uit-lijst’ staat en dat er een implementatieafspraak bestaat om DANE voor eind 2019 overheidsbreed te ondersteunen, waarover ook de Tweede Kamer is geïnformeerd.

Vervolgens is in het overleg van de NL Klantenraad Microsoft op 23 augustus 2019 uitgebreid met vertegenwoordigers van Microsoft gesproken over het belang van de implementatie van DNSSEC en DANE bij de Nederlandse overheid. Daar is de afspraak gemaakt dat het Forum Standaardisatie aanvullende informatie aan Microsoft ter beschikking stelt en dat Microsoft de brief van 31 juli 2019 beantwoordt. In de beantwoording zou door Microsoft aangegeven worden wanneer er gecommuniceerd wordt over het moment waarop de standaarden beschikbaar zijn. Door Microsoft is voor het realiseren van deze brief een termijn van twee weken genoemd.

Met de e-mail van 30 augustus 2019 van het Forum Standaardisatie is de beloofde additionele informatie aan Microsoft gestuurd en is gerefereerd aan de door Microsoft in het overleg toegezegde beantwoording van de brief van 31 juli 2019, waarin Microsoft zou aangeven wanneer ze kan zeggen op welke datum DNSSEC en DANE worden ondersteund.

In het overleg van de NL Klantenraad Microsoft op 26 september 2019 zijn DNSSEC en DANE opnieuw met vertegenwoordigers van Microsoft besproken. Tijdens dit overleg is door Microsoft aangegeven dat de reactie op dat moment geschreven werd en dat daarin de tijdslijnen waarbinnen DNSSEC en DANE beschikbaar komen zullen zijn opgenomen. Daarbij is door Microsoft toegezegd dat DNSSEC en DANE ondersteund gaan worden.

In een e-mail van het Forum Standaardisatie van 7 oktober 2019 wordt Microsoft aan de toezeggingen van 26 september 2019 herinnerd. Deze e-mail is door Microsoft dezelfde dag beantwoord, waarbij is aangegeven dat de conceptversie van de beantwoording in behandeling is bij diverse teams binnen Microsoft en dat afstemming nog wat meer tijd nodig heeft. Daarbij is door Microsoft de verwachting uitgesproken dat Microsoft nog die week een reactie zou kunnen sturen.

In een -als vertrouwelijk aangemerkte- e-mail van vrijdag 11 oktober 2019, de dag waarop de inhoudelijke reactie van Microsoft werd verwacht, wordt door Microsoft gemeld dat er meer tijd nodig is voor een formele schriftelijke reactie. Ook wordt in deze e-mail aangegeven dat het belang volledig is onderkend, dat de prioriteiten zijn verlegd ten gunste van DNSSEC en DANE, en dat engineering is gestart om aan een en ander invulling te geven.

Op 25 oktober 2019 stuurt Microsoft opnieuw een e-mail waarin wordt aangegeven dat er verdere vertraging is ontstaan en dat we volgende week de formele reactie mogen verwachten. In dit bericht wordt een eerste melding gedaan dat Microsoft ‘een ander perspectief zal delen dan eerder besproken’.

In een reactie van het Forum Standaardisatie op deze e-mail wordt aangegeven dat als Microsoft geen DNSSEC en DANE maar alleen MTA-STS implementeert, dat betekent dat Office 365 niet aan de mailbeveiligingseisen van de Nederlandse overheid voldoet (zoals ook aangegeven in de informatie die al op 30 augustus 2019 is verstrekt).

Op 7 november 2019 stuurt u een formele reactie van Microsoft Nederland B.V. Als eerste zijn wij verbaasd over het door Microsoft ‘strikt vertrouwelijke karakter’ dat aan deze brief gegeven wordt. Zoals bij u bekend, zijn DNSSEC en DANE standaarden die voor de gehele overheid vanaf eind 2019 verplicht toegepast moeten worden. Uw positie is daarom niet allen voor ondergetekenden relevant maar juist ook voor de deelnemers in de NL Klantenraad Microsoft en ook voor de leden van het Forum Standaardisatie inclusief hun achterban en (internationale) partners. SLM Microsoft Rijk en het Forum Standaardisatie gaan er derhalve van uit dat de door u in uw brief aangegeven positie gedeeld kan worden met de deelnemers aan deze beide organisaties.

Daarnaast geeft uw brief geen afdoende invulling aan de eerder gemaakte afspraken en gedane toezeggingen. Na ruim drie maanden correspondentie over dit voor de Nederlandse overheid zeer belangrijke onderwerp is er nog steeds geen zicht op de termijn waarbinnen de verplichte standaarden ondersteund worden door Microsoft.

Het door u in uw brief geboden alternatief van MTA-STS en TLS-RPT vormt, zoals eerder aan u gemeld, geen volwaardig alternatief voor DNSSEC en DANE.

De huidige positie van Microsoft vinden we zeer teleurstellend en ook onbegrijpelijk, niet alleen vanwege het verplichte karakter van de standaarden voor de Nederlandse overheid, maar ook gelet op keuzes voor DNSSEC en DANE door buitenlandse overheden, de wereldwijd sterk groeiende adoptie van DNSSEC en DANE, en de enorme klantvraag op uw Uservoice-platform.  In de Uservoice-categorie “Office 365 Security & Compliance” staat de DNSSEC/DANE feature request op de tweede plek, en de DNSSEC feature request staat op de eerste plek in de categorie “Azure Networking”. Uw positie betekent dat Microsoft deze ontwikkelingen en klantvraag naast zich neerlegt, en dat Office365 niet compliant zal zijn met de mailbeveiligingseisen van de Nederlandse overheid.

U zult begrijpen dat zolang Microsoft niet voldoet aan de binnen de Nederlandse overheid verplichte standaarden DNSSEC en DANE, dit negatieve effecten zal hebben op de uitrol van Office365 door de Nederlandse overheid. SLM Microsoft Rijk en het Forum Standaardisatie zullen deze situatie in hun adviezen aan hun deelnemers en stakeholders kenbaar maken.

Het Forum Standaardisatie rapporteert begin 2020 opnieuw de voortgang van de implementatie van de standaarden. Deze rapportage is publiekelijk en de resultaten zullen ook met de verantwoordelijke ministers en Tweede Kamer worden gedeeld. In de rapportage zal het ontbreken van de ondersteuning van DNSSEC en DANE door Microsoft worden meegenomen.

Gelet op het voorgaande, verzoeken we u om een schriftelijke reactie, door SLM Microsoft Rijk te ontvangen op uiterlijk 30 november aanstaande, die wél duidelijkheid geeft over de roadmap van Microsoft voor ondersteuning DNSEC en DANE en daarmee invulling geeft aan de oorspronkelijke vraag en de door Microsoft gedane toezeggingen.

Met vriendelijke groet,

Paul van den Berg, Strategisch Leveranciersmanager Microsoft Rijk

Larissa Zegveld, Voorzitter Forum Standaardisatie

Documentatie-type