Tämä on kattava sivu historiasta SSL, TLS ja STARTTLS ja eroja näiden pöytäkirjojen. Jos etsit tietoja sähköpostiohjelman perustamisesta, Siirry tästä.
eri termien SSL, TLS ja STARTLS ympärillä on usein melkoista sekaannusta.
SSL ja TLS ovat standardi tekniikka, jolla salataan kahden tietokoneen väliset yhteydet. Tämä estää kolmansia osapuolia vakoilemasta näitä tietoliikenneyhteyksiä.
TLS on SSL: n seuraaja., Sitä tukevat kaikki nykyaikaiset ja turvalliset Internet-liikennettä käsittelevät järjestelmät, mukaan lukien Fastmail. Termit SSL ja TLS vaihdetaan usein ja niitä käytetään vaihdellen.
STARTLS on erilainen kuin SSL ja TLS. Ennen kuin salaus oli vakio, monet yhteydet sähköpostiohjelman ja palvelimen välillä tehtiin epävarmasti. Tämä vaaransi henkilötietojen varastamisen. STARTTLS auttoi vähentämään tätä riskiä ottamalla olemassa olevan puutteellisen yhteyden ja päivittämällä sen turvalliseen yhteyteen, jossa käytettiin SSL / TLS: ää. STARTTLS toimii joko SSL: n tai TLS: n kanssa.,
SSL/TLS-versio numerot
versio numerot SSL-ja TLS järjestyksessä vanhimmasta uusimpaan on:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
Kun yhteys on tehty portti, joka on SSL-tai TLS, tai kun epävarma yhteys on päivittänyt suojattu, STARTTLS, molemmin puolin yhteydessä tulee sopia muun version riippuen siitä, mitä on tuettu. Tämä saattaa tarkoittaa sitä, että jos palvelin tukee uusin TLS v1.3, mutta sähköpostiohjelma, joka yhdistää palvelimeen vain tukee TLS v1.,1, molemmat osapuolet voivat käyttää TLS v1. 1.
vaikka lähes kaikki verkkopalvelut tukevat SSL / TLS: ää tänään, kaikki palvelut eivät tue uusinta TLS v1.3: ta. SSL on virallisesti poistettu käytöstä (toukokuusta 2018 alkaen), eikä se ole enää nykyaikaisten verkkopalvelujen käytössä. Nykyinen ohjelmisto tukee TLS v1.0, TLS v1.1, ja TLS v1.2, ja monet sivustot ja palvelut nyt suosittelemme vähintään TLS v1.2 sen kokonaisuudessaan parantunut turvallisuus profiili.,
TLS vs STARTTLS nimeäminen ongelma
Yksi syy hämmennystä nimiä näistä eri tekniikoita on, että jotkut sähköpostiohjelmat väärin käyttää termiä TLS, kun ne olisi pitänyt käyttää STARTTLS.
Vanhemmat versiot Thunderbird erityisesti käyttää ”TLS” tarkoittaa, että STARTTLS olisi käytettävä päivittää yhteyden, ja yhteyden pitäisi epäonnistua, jos STARTTLS ei tueta.
näissä versioissa käytettiin myös termiä ”TLS, jos saatavilla”., ”TLS, jos saatavilla” tarkoitti sitä, että ohjelma yrittää käyttää STARTTLS päivittää yhteyttä, jos palvelin tukee tätä, mutta muuten käyttää epävarma yhteys.
historia sähköposti authentication
ymmärtää, SSL/TLS ja STARTTLS, se on välttämätöntä ymmärtää historiaa takana nämä standardit ja miten teollisuus on kehittynyt käsitellä olemassa olevan käyttäjän ja asiakkaan käyttäytymistä ja uusia uhkia. SSL / TLS: ää ja STARTTLS: ää ei ollut vielä keksitty, kun IMAP, POP ja SMTP olivat jo vakiintuneet., Asianmukaisen salauksen lisääminen näihin rikkomatta olemassa olevaa käyttäytymistä oli merkittävä haaste.
SSL/TLS vs selkokielisen/STARTTLS portti numerot
Riippuen yhteyden ja mitä salaus on tuettu, eri porttinumerot saattaa olla tarpeen.
Koska sähköposti teknologia, kuten IMAP, POP ja SMTP olivat jo paikalla, kun SSL/TLS keksittiin, tavallinen teksti yhteydet olivat odotettavissa koko standardin satamien 143
, 110
ja 25
., Vaikka monet palvelut tukevat käyttäen STARTTLS päivittää yhteys näiden satamien, jos asiakas ei myös tue tätä, siellä oli riskiä, että arkaluonteisia tietoja, kuten salasanoja lähetetään tekstimuodossa. Tämä asetti salasanoille merkittävän riskin joutua varastetuksi, jos hyökkääjä tarkkailee yhteyttä.
turvallisuuden lisäämiseksi päätettiin kolmesta uudesta satamasta. Nämä portit odottivat SSL / TLS-yhteyksiä välittömästi, joten ne kieltäytyivät yrityksistä lähettää mitään tietoja selkokielellä., Tämän turvata arkaluonteisia tietoja, kuten salasanoja ja sähköpostiosoitteita – joko tiedot siirretään turvallisesti, tai sitä ei siirretä ollenkaan. Tätä kutsutaan ”implisiittiseksi TLS: ksi”, eli on odotettavissa, että yhteyden molemmat puolet tukevat salattuja yhteyksiä.,icit TLS
143
993
110
995
25
465
The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Jotta voidaan tukea vain yhden portin, STARTTLS oli luotu siten, että asiakas yhdistää yli pelkkää tekstiä, ja sitten päivittää yhteyden secure yksi, joka käyttää SSL/TLS.
tämäkään ei ollut täydellinen ratkaisu. Paikalla oli jo oikeita käyttäjiä, jotka käyttivät uusia porttinumeroita sähköpostiasiakkaidensa kanssa. Sähköpostiohjelmat voivat olla hyvin pitkäikäisiä, joten uusien porttien poistaminen käytöstä ei ollut käyttäjäystävällinen vaihtoehto.
yhden sataman käyttöön ja yhteyden päivittämiseen liittyi myös turvallisuusongelmia., Vaikka mekanismeja lisättiin kunkin pöytäkirjan kertoa asiakkaille, että tuettu yhteys-päivitys suojatun yhteyden kautta, ja ne pitäisi yrittää kirjautumalla sisään, kunnes päivitys on valmis, jotkut client-ohjelmisto sivuuttaa tämän ja lähetti salasanat ja käyttäjätunnukset yli pelkkää tekstiä joka tapauksessa. Vaikka palvelin olisi hylännyt yhteyden, kirjautumistiedot oli muutenkin lähetetty salaamattomina, mikä jätti ne haavoittuvaisiksi.
muut ohjelmistot eivät välittäneet palvelimen ohjeesta päivittää yhteys, ja lähettivät käyttäjälle vastapalvelukseksi kirjautumisvirheen., Tämä aiheutti paljon hämmennystä siitä, mikä oli vialla.
Koska molemmat näistä kysymyksistä aiheutti merkittäviä ongelmia jo olemassa olevia asiakkaita, useimmat palvelut edelleen käyttää pelkkää tekstiä yhteyksiä yhden portin numero, ja tarjoavat turvallisen, implisiittinen SSL/TLS-yhteydet toisen portin numero.
Tänään, monet sähköpostipalvelut, kuten Fastmail, nyt poistaa plain text IMAP-ja POP käyttäjätunnukset täysin portit 143
ja 110
, jolloin salatut yhteydet satamiin 993
ja 995
koska ainoa vaihtoehto., Tämä varmistaa, että kaikki asiakkaat käyttävät salattuja SSL/TLS-yhteyksiä arkaluontoisten tietojen suojaamiseksi.
SMTP-STARTTLS poikkeuksena
on Olemassa yksi poikkeus tähän keskusteluun noin SSL/TLS ja käyttäen STARTTLS: SMTP.
SMTP suunniteltiin alun perin viestinsiirtoa varten. Viestinsiirto SMTP: n kautta tapahtuu eri palvelimien välillä, joita ei ole suunniteltu suoraan asiakkaan vuorovaikutukseen. Tästä syystä se ei ole tarpeen alussa suunnittelussa huomioon ongelmat sähköpostiohjelmat, kuten lähettää käyttäjän salasana tietoja suojaamattomana.,
vasta myöhemmin SMTP: tä alettiin käyttää viestinsiirron lisäksi myös viestinsiirrossa. Alkuaikoina sähköpostiohjelmat määrittää lähettämään SMTP, näitä käytetään portti 25
, sama portti, jota oli käytetty sisällä mail systems itse siirtää. Suuremmissa postinsiirtojärjestelmissä portti 25
oli mahdollista lukita, joten sitä voitiin käyttää vain luotetuissa IP-osoitteissa., Tietenkin, se ei ollut mahdollista tehdä tämän useita tuhansia kotiin IP-osoitteita käyttäen SMTP niiden sähköpostiohjelmat sähköpostin toimittamista, ja niin portti 587
oli määritelty viestin jättämistä.
port 587
sijaan 25
viestin jättämisestä tuli suosittu, suunnilleen samaan aikaan, että on tärkeää käyttää salausta suojaamaan arkaluonteisia tietoja tuli tunnettu ja salaus laajennukset on määritelty SMTP -., Portti 587
määritellään nimenomaan viestin jättämistä, tukee päivittämistä suojatun yhteyden STARTTLS.
– Portti 465
oli myös määritelty SMTP submission, ja toisin kuin portti 587
, 465
erityisesti tuki implisiittinen TLS-aivan kuten port 993
IMAP-ja 995
POP., Tällä kertaa, kuitenkin, teollisuus oli siirtynyt olettaen, että kaikki liitännät IMAP, POP ja SMTP olisi päivittänyt turvallisesti käyttäen STARTTLS sijaan ensisijainen implisiittinen TLS tänään. Tästä syystä pian sataman 465
määrittelyn jälkeen se kumottiin. Kaikkien asiakkaiden odotettiin siirtyvän käyttämään STARTLS: ää portissa 587
.
mail client-ohjelmisto voi olla hyvin pitkäikäinen, ja useimpien käyttäjien voi olla haastavaa tehdä muutoksia portteihin ja palvelimen asetuksiin itse., Monet sähköpostiohjelmat olivat myös suunniteltu tällä kertaa vain työskennellä implisiittinen SSL/TLS portti 465
. Tämän vuoksi porttia 465
oli hyvin vaikea poistaa asiakkaiden vaihtoehdoksi, vaikka se virallisesti kumottiin.
Palvelut, jotka tukevat SMTP-viestin toimittaminen vaativat nyt, että asiakkaita yhdistää standardin portti 587
päivitä yhteys käyttäen STARTTLS, ja kirjaudu sisään käyttäjätunnuksella ja salasanalla.,
vuonna 2018 virallinen suositus vaihtui jälleen implisiittisten TLS: n käyttöön portin 465
. Koska pitkäikäisiä luonne email client-ohjelmisto, sen odotetaan olevan pitkä aika, ennen kuin portti 587
voidaan lopettaa.
Koska palvelut ovat nyt edenneet käyttäjät pois käyttämällä port 25
sähköpostin lähettäminen, he ovat nyt pystyneet estämään tämän sataman käyttäjille ja käyttää sitä sisäisesti vain sen alkuperäiseen tarkoitukseen sähköpostin lähetys., Portti 25
oli ollut merkittävä lähde roskapostia, koska käyttäjien tietokoneita on tartunnan roskapostia lähettämällä viruksia, joten tämä on vähentänyt määrä roskapostia lähetetään kautta palveluja, jotka ovat estäneet tätä porttia.
tällä Hetkellä, siellä on jopa levittää käyttäjille käyttämällä implisiittinen SSL/TLS portti 465
ja käyttäjät päivittäminen niiden yhteydessä käyttäen STARTTLS portti 587
. Fastmail jatkaa molempien vaihtoehtojen tarjoamista lähitulevaisuudessa.