• 44 85 85 90
  • info@emaerket.dk
  • Hverdage 9-12:00 og 12:30-15:00

Blog

e-mærket logo

Ikke fundet

Vis flere
e-mærket logo

Blog

Bliv medlem
  • 44 85 85 90
  • info@emaerket.dk
e-mærket logo

Sikkerhedskriterier

Specifikationer

FORMÅL OG ANVENDELSESOMRÅDE

Disse specifikationer finder anvendelse som tillæg til de certificeringskriterier, der er anført i gældende retningslinjer for e-mærket, jf. punktet ”Sikkerhed”.

Specifikationerne beskriver de detaljerede kriterier, der til enhver tid skal være opfyldt ift. gyldige versioner, tekniske standarder og anden systemopsætning relateret til sikkerhedskriterierne.

Ændringer kan ske med 30 dages varsel, i tilfælde der har væsentlig it-sikkerhedsmæssig betydning. I videst muligt omfang forsøges ændringer varslet minimum 6 måneder inden endelig ikrafttræden.

WEBSITE SIKKERHED

DNSSEC (identitet)

Nedenstående specifikationer skal være opfyldt:

  1. Webstedets domæne skal være DNSSEC-signeret med en gyldig DNSSEC-signatur, i overensstemmelse med DNSSEC-standarden, jf. https://www.icann.org/resources/pages/standards-2012-02-25-en.

HTTPS (sikker forbindelse)

Nedenstående specifikationer for HTTPS skal være opfy
1. Webservere skal automatisk omdirigere besøgende fra ukrypteret HTTP-forbindelse til
krypteret HTTPS-forbindelse på det samme domæne.

TLS specifikationer for HTTPS (kryptering)

Nedenstående specifikationer skal være opfyldt:

  1. Følgende TLS-versioner accepteres:
    • TLS 1.2
    • TLS 1.3

  2. Følgende Ciphers (algoritmevalg) accepteres:
    • TLS 1.2

      • Anbefalet
        • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM

      • Tilstrækkelig
        • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
        • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD

      • Tilstrækkelig i begrænset periode (indtil udgangen af 2025)
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA.
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

    • TLS 1.3

      • Anbefalet
        • TLS_CHACHA20_POLY1305_SHA256
        • TLS_AES_128_GCM_SHA256
        • TLS_AES_128_CCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM

    • Tilstrækkelig
      • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
      • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
      • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
      • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
      • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

    • Tilstrækkelig i begrænset periode (indtil udgangen af 2025)
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  3. Følgende parametre til nøgleudveksling accepteres:
    • EC – ECDHE
      • secp384r1
      • secp256r1
      • x448
      • x25519

    • FF – DHE
      • ffdhe4096
      • ffdhe3072
      • ffdhe2048

  4. Følgende hash-funktioner til nøgle udveksling accepteres:
    • SHA-256
    • SHA-384
    • SHA-512

 

Webstedscertifikat (identitet)

Nedenstående specifikationer skal være opfyldt:

  1. Følgende nøglelængde accepteres:
    • RSA:
      • Mindst 2048 bit (min. 3072 bit i næste version)

    • Elliptic curve:
      • – ecp384r1
      • secp256r1
      • x448
      • x25519
  2. Skal være udstedt af en gyldig root certificate authority og understøttet i følgende mest anvendte browsere:
    • Firefox
    • Edge
    • Chrome
    • Safari
  3. Følgende hash-funktioner til bekræftelse af certifikat accepteres:
    • SHA-256
    • SHA-384
    • SHA-512

 

E-MAIL SIKKERHED

 

 

DMARC (identitet)

Nedenstående specifikationer skal være opfyldt:

  1. DMARC-politikken skal være sat til ”reject” eller ”quarantine”.

 

DKIM (autentificering)

Nedenstående specifikationer skal være opfyldt:

1. Domænet skal understøtte DKIM-records (Domain Key Identified Mail).

SPF (identitet)

Nedenstående specifikationer skal være opfyldt:

  1. Syntaks for SPF-record skal være korrekt.
  2. SPF-record skal indeholde en tilstrækkelig streng policy, dvs. ~all (softfail) eller
    -all (hardfail) for at forhindre misbrug fra phishere og spammere.
  3. Der medtages også ‘include’ og ‘redirect’-henvisning for udarbejdelse af endegyldige SPF-record. Højst 10 DNS-opslag er tilladt i denne sammenhæng.
  4. Hvis include eller redirect domænet består af makroer, vil de ikke være inkluderet.

 

TLS for e-mailserver (kryptering)

Nedenstående specifikationer skal være opfyldt:

  1. Følgende TLS-versioner accepteres:
    • TLS 1.0
    • TLS 1.1
    • TLS 1.2
    • TLS 1.3

  2. Følgende Ciphers (algoritmevalg) accepteres:
    • TLS 1.0/1.1
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
      • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
      • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
      • TLS_RSA_WITH_AES_128_CBC_SHA
      • TLS_RSA_WITH_3DES_EDE_CBC_SHA
      • TLS_RSA_WITH_AES_256_CBC_SHA

    • TLS 1.2
      • Anbefalet
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM

      • Tilstrækkelig
        • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
        • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_RSA_WITH_AES_128_GCM_SHA256
        • TLS_RSA_WITH_AES_256_GCM_SHA384
        • TLS_RSA_WITH_AES_256_CBC_SHA256
        • TLS_RSA_WITH_AES_128_CBC_SHA256

      • Tilstrækkelig i begrænset periode (indtil udgangen af 2025)
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
        • TLS_RSA_WITH_AES_128_CBC_SHA
        • TLS_RSA_WITH_AES_256_CBC_SHA
        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

    • TLS 1.3

      • Anbefalet
        • TLS_CHACHA20_POLY1305_SHA256
        • TLS_AES_128_GCM_SHA256
        • TLS_AES_128_CCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_256_CCM
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM_8
        • TLS_ECDHE_ECDSA_WITH_AES_128_CCM

      • Tilstrækkelig
        • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256_OLD
        • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
        • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
        • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
        • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
        • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
        • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
        • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

      • Tilstrækkelig i begrænset periode (indtil udgangen af 2025)
        • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
        • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  3. Følgende parametre til nøgleudveksling accepteres:
    • EC – ECDHE
      • secp384r1
      • secp256r1
      • x448
      • x25519

    • FF – DHE
      • ffdhe4096
      • ffdhe3072
      • ffdhe2048

  4. Følgende hash-funktioner til nøgle udveksling accepteres:
    • SHA-256
    • SHA-384
    • SHA-512


E-mailservercertifikat (identitet)

Nedenstående specifikationer skal være opfyldt:

  1. Følgende nøglelængde accepteres:
    • RSA:
      • Mindst 2048 bit (min. 3072 bit i næste version)

    • Elliptic curve:
      • ecp384r1
      • secp256r1
      • x448
      • x25519
  2. Skal være udstedt af en gyldig root certificate authorityhttps://ccadb.my.salesforce-sites.com/ccadb/AllCertificateRecordsCSVFormat.

  3. Følgende hash-funktioner til bekræftelse af certifikat accepteres:
    • SHA-256
    • SHA-384
    • SHA-512


e-mærkets specifikationer til sikkerhedskriterier af 2. kvartal 2024

©2024 emaerket.dk

Tilmeld nyhedsbrev

Få nyheder, vejledninger og guides til e-handel og sikker shopping samt markedsføring. Vi sender 2-3 gange om måneden og du kan til enhver tid tilbagekalde dit samtykke. Læs vores persondatapolitik for tilmelding til nyhedsbrev her.

Kontakt os

Udfyld formularen, så vender vi tilbage.

Læs vores persondatapolitik