SSL, TLS y STARTTLS

SSL, TLS y STARTTLS

Esta es una página informativa sobre el historial de SSL, TLS y STARTTLS y las diferencias entre estos protocolos. Si usted está buscando información sobre la configuración de su cliente de correo electrónico, por favor vaya aquí.

a menudo hay un poco de confusión en torno a los diferentes términos SSL, TLS y STARTTLS.

SSL y TLS son la tecnología estándar para cifrar las conexiones entre dos equipos. Esto evita que terceros espíen estas comunicaciones.

TLS es el sucesor de SSL., Es compatible con todos los sistemas modernos y seguros que manejan el tráfico de internet, Incluido Fastmail. Los Términos SSL y TLS a menudo se cambian y se usan indistintamente.

STARTTLS es diferente a SSL y TLS. Antes de que el cifrado fuera estándar, muchas conexiones entre un cliente de correo electrónico y el servidor se realizaban de forma insegura. Esto puso la información personal en peligro de ser robada. STARTTLS ayudó a reducir este riesgo al tomar una conexión insegura existente y actualizarla a una conexión segura que usaba SSL/TLS. STARTTLS funciona con SSL o TLS.,

SSL/TLS números de versión de

Los números de versión de SSL y TLS en orden de más antiguo a más reciente es:

  1. SSL v2
  2. SSL v3
  3. TLS v1.0
  4. TLS v1.1
  5. TLS v1.2
  6. TLS v1.3.

cuando se realiza una conexión a un puerto que tiene SSL o TLS, o cuando una conexión insegura se actualiza a secure por STARTTLS, ambos lados de la conexión acordarán una versión en particular dependiendo de lo que sea compatible. Esto podría significar que si el servidor admite la versión más reciente de TLS v1.3, pero el cliente de correo electrónico que se conecta al servidor solo admite TLS v1.,1, ambos lados pudieron utilizar TLS v1.1.

mientras que casi todos los servicios en línea son compatibles con SSL / TLS hoy en día, no todos los servicios son compatibles con la versión más reciente de TLS v1.3. SSL ha sido oficialmente obsoleto (a partir de mayo de 2018) y ya no está en uso por los servicios en línea modernos. El software actual es compatible con TLS v1.0, TLS v1.1 y TLS v1.2, y muchos sitios y servicios ahora recomiendan encarecidamente al menos TLS v1.2 para su perfil de seguridad mejorado en general.,

TLS vs STARTTLS naming problem

una causa de confusión en torno a los nombres de estas diferentes tecnologías es que algunos programas de correo electrónico utilizan incorrectamente el término TLS cuando deberían haber utilizado STARTTLS.

Las versiones anteriores de Thunderbird en particular usaban «TLS» para significar que STARTTLS debería usarse para actualizar la conexión, y la conexión debería fallar si STARTTLS no es compatible.

estas versiones también utilizan el término «TLS, si está disponible»., «TLS, si está disponible» significaba que el programa intentaría usar STARTTLS para actualizar la conexión si el servidor lo soportaba, pero de lo contrario usaría una conexión insegura.

un historial de autenticación de correo electrónico

para comprender SSL/TLS y STARTTLS, es necesario comprender el historial detrás de estos estándares y cómo ha evolucionado la industria para lidiar con los comportamientos existentes de los usuarios y clientes y las nuevas amenazas. SSL/TLS y STARTTLS aún no se habían inventado cuando IMAP, POP y SMTP ya estaban bien establecidos., Agregar un cifrado adecuado a estos sin romper el comportamiento existente fue un desafío significativo.

SSL / TLS vs plaintext / STARTTLS números de Puerto

dependiendo del tipo de conexión y el cifrado que se admite, es posible que se necesiten diferentes números de Puerto.

dado que la tecnología de correo electrónico como IMAP, POP y SMTP ya existían cuando se inventó SSL/TLS, se esperaban conexiones de texto plano a través de los puertos estándar de 143, 110, y 25., Si bien muchos servicios soportaban el uso de STARTTLS para actualizar la conexión en estos puertos, si un cliente no lo soportaba también, existía el riesgo de que información confidencial como contraseñas se transmitiera en texto plano. Esto puso las contraseñas en un riesgo significativo de ser robadas si un atacante estaba viendo la conexión.

para agregar seguridad, se decidieron tres nuevos puertos. Estos puertos esperaban conexiones SSL/TLS inmediatamente, por lo que rechazaron cualquier intento de transmitir cualquier información en texto plano., Este salvaguardar la información sensible, como contraseñas y direcciones de correo electrónico, la información se transfiere de forma segura, o no sería transferido a todos. Esto se conoce como «TLS implícito», lo que significa que se espera que ambos lados de una conexión soporten conexiones cifradas.,icit TLS

IMAP Port 143 Port 993 POP Port 110 Port 995 SMTP Port 25 Port 465

The problem with multiple port numbers

Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Con el fin de soportar solo un puerto, STARTTLS fue creado como una forma para que un cliente se conecte a través de texto plano, y luego actualizar la conexión a uno seguro que utiliza SSL/TLS.

esto tampoco era una solución perfecta. Ya había usuarios reales que estaban utilizando los nuevos números de puerto con sus clientes de correo electrónico. Los clientes de correo electrónico pueden tener una vida muy larga, por lo que deshabilitar los nuevos puertos no era una opción fácil de usar.

también hubo problemas de seguridad con el uso del puerto único y la actualización de la conexión., A pesar de que se agregaron mecanismos a cada protocolo para indicar a los clientes que la conexión admitía la actualización a una conexión segura y que no debían intentar iniciar sesión hasta que se completara la actualización, algunos programas cliente ignoraron esto y enviaron contraseñas y nombres de usuario en texto plano de todos modos. Incluso si el servidor rechazó la conexión, los detalles de inicio de sesión ya se habían enviado sin cifrar de todos modos, lo que los dejó vulnerables.

otro software ignoró la instrucción del servidor para actualizar la conexión, y simplemente envió al usuario un error de inicio de sesión a cambio., Esto causó mucha confusión sobre lo que estaba mal.

dado que ambos problemas causaron problemas significativos para los clientes existentes, la mayoría de los servicios continuaron utilizando conexiones de texto sin formato en un número de puerto y ofrecen conexiones SSL/TLS implícitas y seguras en un segundo número de Puerto.

hoy en día, muchos servicios de correo electrónico, incluido Fastmail, ahora deshabilitan los inicios de sesión IMAP y POP de texto plano completamente en los puertos 143 y 110, dejando conexiones cifradas en los puertos 993 y 995 como única opción., Esto garantiza que todos los clientes utilicen conexiones SSL/TLS cifradas para proteger los datos confidenciales.

SMTP STARTTLS como excepción

hay una excepción en este debate sobre el uso de SSL / TLS y el uso de STARTTLS: SMTP.

SMTP fue diseñado originalmente para la transferencia de mensajes. La transferencia de mensajes a través de SMTP ocurre entre diferentes servidores que no están diseñados para la interacción directa del cliente. Por esta razón, no era necesario en el diseño inicial tener en cuenta los problemas con los clientes de correo, como la transmisión de información de contraseña de usuario en texto claro.,

fue solo más tarde que SMTP comenzó a ser utilizado para el envío de mensajes, así como la transferencia de mensajes. En los primeros días de los clientes de correo electrónico configurados para enviar usando SMTP, estos usaban el puerto 25, el mismo puerto que se usaba dentro de los propios sistemas de correo para la transferencia. En sistemas de transferencia de correo más grandes, era posible bloquear port 25 para que solo pudiera ser utilizado por direcciones IP de confianza., Por supuesto, no fue posible hacer esto para los muchos miles de direcciones IP de inicio que utilizan SMTP en sus clientes de correo electrónico para el envío de correo electrónico, por lo que port 587 se definió para el envío de mensajes.

El uso del puerto 587 en lugar de 25 para el envío de mensajes se hizo popular al mismo tiempo que la importancia de usar el cifrado para proteger datos confidenciales se hizo bien conocida y se estaban definiendo extensiones de cifrado para SMTP., Port 587, definido específicamente para el envío de mensajes, admite la actualización a una conexión segura con STARTTLS.

Port 465 también se definió para el envío SMTP, y a diferencia de port 587, 465 admite TLS implícitos específicamente al igual que port 993 para IMAP y 995 para pop., En este momento, sin embargo, la industria había pasado a la expectativa de que todas las conexiones para IMAP, POP y SMTP se actualizarían de forma segura utilizando STARTTLS en lugar del TLS implícito preferido hoy. Por esta razón, poco después de que se definiera port 465, se revocó. Se esperaba que todos los clientes se movieran para usar STARTTLS en el puerto 587.

el software de cliente de correo puede tener una vida muy larga, y puede ser un desafío para la mayoría de los usuarios realizar cambios en los puertos y la configuración del servidor por sí mismos., Muchos clientes de correo electrónico también fueron diseñados en este tiempo para trabajar solo con SSL/TLS implícito en el puerto 465. Esto hizo muy difícil eliminar port 465 como una opción para los clientes, a pesar de que fue revocado oficialmente.

los Servicios que admiten SMTP para el envío de mensajes ahora requieren que los clientes que se conecten en el puerto estándar 587 actualicen la conexión mediante STARTTLS e inicien sesión con un nombre de usuario y una contraseña.,

en 2018, la recomendación oficial cambió de nuevo a usar TLS implícito sobre el puerto 465. Debido a la naturaleza de larga duración del software de cliente de correo electrónico, se espera que pase mucho tiempo antes de que port 587 pueda descontinuarse.

debido a que los servicios ahora han alejado a los usuarios del uso del puerto 25 para el envío de correo electrónico, ahora han podido bloquear este puerto para los usuarios y usarlo internamente solo para su propósito original de transmisión de correo electrónico., Port 25 había sido una fuente significativa de spam debido a que los equipos de los usuarios estaban infectados con virus de envío de spam, por lo que esto ha reducido en gran medida la cantidad de spam enviado a través de servicios que han bloqueado este puerto.

actualmente, hay una propagación uniforme de usuarios que utilizan SSL/TLS implícito con el puerto 465 y los usuarios actualizan su conexión con STARTTLS utilizando el puerto 587. Fastmail seguirá ofreciendo ambas opciones en el futuro previsible.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *