Toto je informační stránka o historii SSL, TLS a STARTTLS a rozdíly mezi těmito protokoly. Pokud hledáte informace o nastavení e-mailového klienta, prosím, jděte sem.
kolem různých termínů SSL, TLS a STARTTLS je často docela zmatek.
SSL a TLS jsou standardní technologií pro šifrování spojení mezi dvěma počítači. To zabraňuje třetím stranám špehovat tyto komunikace.
TLS je nástupcem SSL., Je podporován všemi moderními a bezpečnými systémy, které zpracovávají internetový provoz, včetně Fastmail. Termíny SSL a TLS jsou často přepínány a používány zaměnitelně.
STARTTLS se liší od SSL a TLS. Než bylo šifrování standardní, mnoho spojení mezi e-mailovým klientem a serverem bylo provedeno nejistě. Tím hrozí, že osobní údaje budou ukradeny. STARTTLS pomohl snížit toto riziko tím, že stávající nezabezpečené připojení a upgrade na zabezpečené připojení, které používá SSL / TLS. STARTTLS pracuje buď s SSL nebo TLS.,
SSL/TLS verze čísla
čísla verze SSL a TLS v pořadí od nejstarší k nejnovější, je:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
Při připojení k portu, který má SSL nebo TLS, nebo při nezabezpečeném připojení je aktualizován, aby zajistit pomocí STARTTLS, obě připojovací strany se dohodnou na konkrétní verzi v závislosti na tom, co je podporováno. To může znamenat, že pokud server podporuje nejnovější TLS v1.3, ale e-mailový klient připojující se k serveru podporuje pouze TLS v1.,1, obě strany mohou používat TLS v1. 1.
zatímco téměř všechny online služby dnes podporují SSL/TLS, ne všechny služby podporují nejnovější TLS v1. 3. SSL byl oficiálně zastaralý (od května 2018) a již není používán moderními online službami. Současný software podporuje TLS v1.0, TLS v1.1 a TLS v1.2 a mnoho webů a služeb nyní důrazně doporučuje alespoň TLS v1.2 pro svůj celkový vylepšený bezpečnostní profil.,
TLS vs STARTTLS pojmenování problému
příčinou zmatek kolem jména těchto různých technologií je to, že některé e-mailové software nesprávně používá termín TLS, když se měla použít STARTTLS.
Starší verzí aplikace Thunderbird a to zejména používá „TLS“ znamená, že STARTTLS by měly být použity k upgradu připojení a připojení by měla selhat, pokud STARTTLS není podporován.
tyto verze také používaly termín „TLS, je-li k dispozici“., „TLS, pokud je k dispozici“ znamenalo, že se program pokusí použít STARTTLS k upgradu připojení, pokud to server podporoval, ale jinak použije nezabezpečené připojení.
historie ověřování e-mailu
pochopit, SSL/TLS a STARTTLS, je nutné pochopit historii za těmito standardy a jak průmysl vyvinul se vypořádat s existující uživatelské a klientské chování a nové hrozby. SSL / TLS a STARTTLS ještě nebyly vynalezeny, když IMAP, POP a SMTP již byly dobře zavedeny., Přidání správného šifrování k nim bez porušení stávajícího chování bylo významnou výzvou.
SSL/TLS vs plaintext / STARTTLS čísla portů
V závislosti na typu připojení a jaké šifrování je podporováno, mohou být zapotřebí různá čísla portů.
Od e-technologie jako IMAP, POP a SMTP již byli kolem, když SSL/TLS byl vynalezen, prostý text spojů se očekávalo, že přes standardní porty 143
110
25
., Zatímco mnoho služeb podporován pomocí STARTTLS upgrade připojení na tyto porty, pokud klient neměl také podporu, tam bylo riziko, že citlivé informace, jako jsou hesla přenášena ve formátu prostého textu. Tím byla hesla vystavena značnému riziku odcizení, pokud útočník sledoval spojení.
pro přidání zabezpečení byly rozhodnuty tři nové porty. Tyto porty očekávaly připojení SSL / TLS okamžitě, takže odmítli jakýkoli pokus o přenos jakýchkoli informací prostým textem., To chránilo citlivé informace, jako jsou hesla a e – mailové adresy-buď by informace byly bezpečně přeneseny, nebo by vůbec nebyly přeneseny. Toto je označováno jako „implicitní TLS“, což znamená, že se očekává, že obě strany připojení budou podporovat šifrovaná připojení.,icit TLS
143
993
110
995
25
465
The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Za účelem podpory pouze jednoho portu byl STARTTLS vytvořen jako způsob, jak se klient připojit přes prostý text, a poté Upgradovat připojení na zabezpečený port, který používal SSL/TLS.
to také nebylo dokonalé řešení. Již existovali skuteční uživatelé, kteří používali nová čísla portů se svými e-mailovými klienty. E-mailoví klienti mohou mít velmi dlouhou životnost, takže zakázání nových portů nebylo uživatelsky přívětivou volbou.
došlo také k obavám o bezpečnost při používání jediného portu a upgradu připojení., I když mechanismy byly přidány do každý protokol říct klientům, že připojení podporované přechodu na zabezpečené připojení a neměly by pokus o přihlášení, až upgrade je kompletní, nějaký klientský software ignoroval a poslal hesla a uživatelská jména více než prostý text stejně. I když server připojení odmítl, přihlašovací údaje již byly stejně zašifrovány, což je nechalo zranitelné.
jiný software ignoroval instrukci serveru pro upgrade připojení a právě poslal uživateli přihlašovací chybu na oplátku., To způsobilo spoustu zmatku o tom, co se stalo.
Protože oba tyto problémy způsobilo značné problémy pro stávající klienty, většina služeb i nadále používat prostý text připojení na jeden port, a nabízí bezpečné, implicitní SSL/TLS spojení na druhé číslo portu.
Dnes, mnoho e-mailových služeb, včetně Fastmail, nyní zakázat prostý text IMAP a POP přihlášení pouze na porty 143
110
, takže šifrované spojení na portech 993
995
jako jedinou možnost., To zajišťuje, že všichni klienti používají šifrovaná připojení SSL/TLS k ochraně citlivých dat.
SMTP STARTTLS jako výjimka
existuje jedna výjimka z této debaty kolem použití SSL / TLS a použití STARTTLS: SMTP.
SMTP byl původně navržen pro přenos zpráv. Přenos zpráv přes SMTP probíhá mezi různými servery, které nejsou určeny pro přímou interakci klienta. Z tohoto důvodu nebylo nutné v raném designu účtovat problémy s poštovními klienty, jako je přenos informací o uživatelském hesle v cleartextu.,
teprve později se SMTP začalo používat pro odesílání zpráv i pro přenos zpráv. V raných dobách e-mailových klientů, nastaven k odesílání pomocí SMTP, tyto používá port 25
, stejný port, který byl použit uvnitř poštovních systémech se pro přenos. Ve větších systémech pro přenos pošty bylo možné uzamknout port 25
, takže jej mohly používat pouze důvěryhodné IP adresy., Samozřejmě, že to není možné udělat to pro mnoho tisíc domů adresy IP pomocí SMTP na jejich e-mailové klienty pro e-podání, a tak port 587
byla definována pro odeslání zprávy.
Pomocí portu 587
místo 25
pro odeslání zprávy se stala populární v přibližně stejnou dobu, že význam použití šifrování k ochraně citlivých dat, stal se dobře známý a šifrování rozšíření byly vymezeny pro SMTP., Port 587
, definovaný speciálně pro odesílání zpráv, podporovaný upgrade na zabezpečené spojení s STARTTLS.
Port 465
byl také definován pro SMTP podání, a na rozdíl od port 587
465
konkrétně podporované implicitní TLS, stejně jako port 993
IMAP 995
pro POP., V této době se však průmysl přesunul k očekávání, že všechna připojení pro IMAP, POP a SMTP budou bezpečně upgradována pomocí STARTTLS namísto preferovaných implicitních TLS dnes. Z tohoto důvodu byl krátce po definování portu 465
zrušen. Všichni klienti měli přejít k použití STARTTLS na portu 587
.
Software poštovního klienta může mít velmi dlouhou životnost a pro většinu uživatelů může být náročné provádět změny portů a nastavení serveru sami., Mnoho e-mailových klientů bylo v této době také navrženo tak, aby pracovalo pouze s implicitním SSL/TLS na portu 465
. Díky tomu bylo velmi obtížné odstranit port 465
jako volbu pro zákazníky, i když byl oficiálně zrušen.
podpůrné Služby SMTP pro odeslání zprávy nyní vyžadují, že klienti připojení na standardní port 587
upgrade připojení pomocí STARTTLS, a přihlaste se pomocí uživatelského jména a hesla.,
v roce 2018 se oficiální doporučení opět změnilo na použití implicitních TLS přes port 465
. Vzhledem k dlouhodobé povaze softwaru e-mailového klienta se očekává, že bude velmi dlouhá doba, než bude možné Port 587
přerušit.
Protože služby mají nyní přesunut uživatele od používání portu 25
pro e-podání, mají nyní moci blokovat port pro uživatele a používat to pouze interně pro svůj původní účel e-mailu přenosu., Port 25
byly významným zdrojem spamu, vzhledem k počítače uživatelů infikovány s odesíláním spamu viry, tak to má výrazně snížit množství spamu poslal prostřednictvím služeb, které mají tento port blokován.
v Současné době, tam je i šíření uživatelů pomocí implicitní SSL/TLS s portem 465
a uživatelé přecházející jejich spojení s pomocí STARTTLS port 587
. Fastmail bude i nadále nabízet obě možnosti v dohledné budoucnosti.