Dette er en informativ side om historien om SSL, TLS, og STARTTLS og forskellene mellem disse protokoller. Hvis du leder efter oplysninger om opsætning af din e-mail-klient, skal du gå her.
Der er ofte en hel del forvirring omkring de forskellige udtryk SSL, TLS og STARTTLS.
SSL og TLS er standardteknologien til at kryptere forbindelser mellem to computere. Dette forhindrer tredjeparter i at spionere på disse meddelelser. TLS er efterfølgeren til SSL., Det understøttes af alle moderne og sikre systemer, der håndterer internettrafik, herunder Fastmail. Udtrykkene SSL og TLS er ofte skiftet og bruges i flæng.STARTTLS er forskellig fra SSL og TLS. Før kryptering var standard, mange forbindelser mellem en e-mail-klient og serveren blev gjort usikkert. Dette sætter personlige oplysninger i fare for at blive stjålet. STARTTLS hjalp med at reducere denne risiko ved at tage en eksisterende usikker forbindelse og opgradere den til en sikker forbindelse, der brugte SSL/TLS. STARTTLS arbejder med enten SSL eller TLS.,
SSL/TLS-versionsnumre
versionsnumrene for SSL og TLS i rækkefølge fra ældste til nyeste er:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
Når der oprettes en forbindelse til en port, der har SSL eller TLS, eller når en usikker forbindelse opgraderes til secure af STARTTLS, vil begge sider af forbindelsen blive enige om en bestemt version afhængigt af, hvad der understøttes. Dette kan betyde, at hvis serveren understøtter den nyeste TLS v1.3, Men e-mail-klienten, der opretter forbindelse til serveren, understøtter kun TLS v1.,1, begge sider kan bruge TLS v1. 1.
mens næsten alle onlinetjenester understøtter SSL / TLS i dag, understøtter ikke alle tjenester den nyeste TLS v1.3. SSL er officielt udskrevet (fra maj 2018) og er ikke længere i brug af moderne onlinetjenester. Nuværende soft .are understøtter TLS v1.0, TLS v1.1 og TLS v1.2, og mange sitesebsteder og tjenester anbefaler nu mindst TLS v1.2 for sin samlede forbedrede sikkerhedsprofil.,
TLS vs STARTTLS navneproblem
en årsag til forvirring omkring navnene på disse forskellige teknologier er, at nogle e-mail-soft .are forkert bruger udtrykket TLS, når de skulle have brugt STARTTLS.
ældre versioner af Thunderbird brugte især “TLS” for at betyde, at STARTTLS skal bruges til at opgradere forbindelsen, og forbindelsen skulle mislykkes, hvis STARTTLS ikke understøttes.
disse versioner brugte også udtrykket “TLS, hvis tilgængeligt”., “TLS, hvis tilgængelig” betød, at programmet ville forsøge at bruge STARTTLS til at opgradere forbindelsen, hvis serveren understøttede dette, men ellers bruge en usikker forbindelse.
en historie med e-mail-godkendelse
for at forstå SSL / TLS og STARTTLS er det nødvendigt at forstå historien bag disse standarder, og hvordan branchen har udviklet sig til at håndtere eksisterende bruger-og klientadfærd og nye trusler. SSL / TLS og STARTTLS var endnu ikke opfundet, da IMAP, POP og SMTP allerede var veletablerede., Tilføjelse af korrekt kryptering til disse uden at bryde eksisterende adfærd var en betydelig udfordring.
SSL/TLS vs klartekst/STARTTLS portnumre
afhængigt af typen af forbindelse og hvilken kryptering der understøttes, kan forskellige portnumre være nødvendige.
da e-mail-teknologi som IMAP, POP og SMTP allerede var omkring, da SSL/TLS blev opfundet, blev der forventet almindelige tekstforbindelser på tværs af standardportene 143, 110og 25., Mens mange tjenester understøttes ved hjælp af STARTTLS at opgradere forbindelsen på disse porte, hvis en klient ikke også understøtter dette, der var en risiko for følsomme oplysninger som pass .ords overføres i almindelig tekst. Dette satte adgangskoder med betydelig risiko for at blive stjålet, hvis en angriber så forbindelsen.
for at tilføje sikkerhed blev der besluttet tre nye porte. Disse porte forventede SSL/TLS-forbindelser straks, så de nægtede ethvert forsøg på at overføre oplysninger i almindelig tekst., Dette beskyttede følsomme oplysninger som adgangskoder og e – mail-adresser-enten ville oplysningerne blive overført sikkert, eller det ville slet ikke blive overført. Dette kaldes “implicit TLS”, hvilket betyder, at det forventes, at begge sider af en forbindelse understøtter krypterede forbindelser.,icit TLS
143 993 110 995 25 465 The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., For kun at understøtte en enkelt port blev STARTTLS oprettet som en måde for en klient at oprette forbindelse via almindelig tekst og derefter opgradere forbindelsen til en sikker, der brugte SSL/TLS.
Dette var heller ikke en perfekt løsning. Der var allerede rigtige brugere, der brugte de nye portnumre med deres e-mail-klienter. E-mail-klienter kan være meget lang levetid, så deaktivering af de nye porte var ikke en brugervenlig mulighed.
Der var også sikkerhedsproblemer med at bruge den enkelte port og opgradere forbindelsen., Selvom mekanismer blev føjet til hver protokol for at fortælle klienter, at forbindelsen understøttede opgradering til en sikker forbindelse, og de skulle ikke forsøge at logge ind, før opgraderingen var afsluttet, ignorerede nogle klientsoft .are dette og sendte adgangskoder og brugernavne over almindelig tekst alligevel. Selv hvis serveren afviste forbindelsen, var loginoplysningerne alligevel blevet sendt ukrypteret, hvilket efterlod dem sårbare.
anden soft .are ignorerede serverinstruktionen for at opgradere forbindelsen og sendte lige brugeren en login-fejl til gengæld., Dette forårsagede en masse forvirring om, hvad der var galt.da begge disse problemer forårsagede betydelige problemer for eksisterende kunder, fortsatte de fleste tjenester med at bruge almindelige tekstforbindelser på et portnummer og tilbyder sikre, implicitte SSL/TLS-forbindelser på et andet portnummer.
i Dag, mange e-mail-tjenester, herunder Fastmail, nu deaktivere almindelig tekst, IMAP-og POP-logins helt på porte 143 og 110, der forlader krypterede forbindelser på port 993 og 995, som den eneste mulighed., Dette sikrer, at alle klienter bruger krypterede SSL / TLS-forbindelser til at beskytte følsomme data.
SMTP STARTTLS som en undtagelse
Der er en undtagelse fra denne debat omkring brug af SSL / TLS og brug af STARTTLS: SMTP.
SMTP blev oprindeligt designet til beskedoverførsel. Meddelelsesoverførsel via SMTP sker mellem forskellige servere, der ikke er designet til direkte klientinteraktion. Af denne grund var det ikke nødvendigt i det tidlige design at tage højde for problemerne med mailklienter som at overføre brugeradgangskodeoplysninger i klartekst.,
det var først senere, at SMTP begyndte at blive brugt til meddelelsesindgivelse såvel som meddelelsesoverførsel. I de tidlige dage af e-mail-klienter, der er oprettet til at sende ved hjælp af SMTP, brugte disse port 25, den samme port, der blev brugt i mailsystemerne selv til overførsel. I større postoverførselssystemer var det muligt at låse port 25, så det kun kunne bruges af betroede IP-adresser., Det var selvfølgelig ikke muligt at gøre dette for de mange tusinde hjemme-IP-adresser, der bruger SMTP på deres e-mail-klienter til e-mail-indsendelse, og derfor blev port 587 defineret til meddelelsesindgivelse.
brug af port 587i stedet for 25 til indsendelse af meddelelser blev populær på omtrent samme tid, at vigtigheden af at bruge kryptering til at beskytte følsomme data blev velkendt, og krypteringsudvidelser blev defineret for SMTP., Port 587, defineret specifikt til indsendelse af meddelelser, understøttet opgradering til en sikker forbindelse med STARTTLS.
Port 465 var også defineret for SMTP-indsendelse, og i modsætning til port 587 465 specifikt understøttes implicit TLS-ligesom port 993 for IMAP og 995 for POP., På dette tidspunkt var branchen imidlertid gået videre til forventningen om, at alle forbindelser til IMAP, POP og SMTP ville blive opgraderet sikkert ved hjælp af STARTTLS i stedet for den foretrukne implicitte TLS i dag. Af denne grund, kort efter port 465 blev defineret, blev den tilbagekaldt. Alle klienter forventedes at gå over til at bruge STARTTLS på port 587.
Mailklientsoft .are kan være meget lang levetid, og det kan være udfordrende for de fleste brugere at foretage ændringer i porte og serverindstillinger selv., Mange e-mail-klienter blev også designet i denne tid til kun at arbejde med implicit SSL/TLS på port 465. Dette gjorde det meget vanskeligt at fjerne port 465 som en mulighed for kunder, selvom den officielt blev tilbagekaldt.
tjenester, der understøtter SMTP til indsendelse af meddelelser, kræver nu, at klienter, der opretter forbindelse på standardporten 587 opgraderer forbindelsen ved hjælp af STARTTLS, og logger ind med et brugernavn og en adgangskode.,
i 2018 ændrede den officielle anbefaling igen til at bruge implicit TLS over port 465. På grund af den langvarige karakter af e-mail-klientsoft .are forventes det at vare meget lang tid, før port 587 kan afbrydes. da tjenester nu har flyttet brugere væk fra at bruge port 25 til e-mail-indsendelse, har de nu været i stand til at blokere denne port for brugere og kun bruge den internt til det oprindelige formål med e-mail-transmission., Port 25 havde været en betydelig kilde til spam på grund af brugernes computere, der er inficeret med spam-afsendelsesvirus, så dette har reduceret mængden af spam sendt via tjenester, der har blokeret denne port, kraftigt.
i øjeblikket er der en jævn spredning af brugere, der bruger implicit SSL/TLS med port 465og brugere, der opgraderer deres forbindelse med STARTTLS ved hjælp af port 587. Fastmail vil fortsat tilbyde begge muligheder i overskuelig fremtid.