SSL, TLS et STARTTLS

SSL, TLS et STARTTLS

ceci est une page d’information sur L’historique de SSL, TLS et STARTTLS et les différences entre ces protocoles. Si vous cherchez des informations sur la configuration de votre client de messagerie, veuillez cliquer ici.

Il y a souvent un peu de confusion autour des différents termes SSL, TLS et STARTTLS.

SSL et TLS sont la technologie standard pour chiffrer les connexions entre deux ordinateurs. Cela empêche tout tiers d’espionner ces communications.

TLS est le successeur de SSL., Il est pris en charge par tous les systèmes modernes et sécurisés qui gèrent le trafic internet, y compris Fastmail. Les Termes SSL et TLS sont souvent commutés et utilisés de manière interchangeable.

STARTTLS est différent de SSL et TLS. Avant que le chiffrement ne soit standard, de nombreuses connexions entre un client de messagerie et le serveur se faisaient de manière non sécurisée. Cela a mis les informations personnelles en danger d’être volées. STARTTLS a aidé à réduire ce risque en prenant une connexion non sécurisée existante et en la mettant à niveau vers une connexion sécurisée utilisant SSL/TLS. STARTTLS fonctionne avec SSL ou TLS.,

SSL/TLS numéros de version

Les numéros de version de SSL et TLS dans l’ordre du plus ancien au plus récent est:

  1. SSL v2
  2. SSL v3
  3. TLS v1.0
  4. TLS v1.1
  5. TLS v1.2
  6. TLS v1.3.

lorsqu’une connexion est établie sur un port doté de SSL ou de TLS, ou lorsqu’une connexion non sécurisée est mise à niveau vers secure by STARTTLS, les deux parties de la connexion se mettent d’accord sur une version particulière en fonction de ce qui est pris en charge. Cela peut signifier que si le serveur prend en charge le plus récent TLS v1.3, mais que le client de messagerie se connectant au serveur ne prend en charge que TLS v1.,1, les deux côtés pourraient utiliser TLS v1.1.

alors que presque tous les services en ligne prennent en charge SSL / TLS aujourd’hui, tous les services ne prennent pas en charge la nouvelle version 1.3 de TLS. SSL a été officiellement obsolète (en Mai 2018) et n’est plus utilisé par les services en ligne. Les logiciels actuels prennent en charge TLS v1.0, TLS v1.1 et TLS v1.2, et de nombreux sites et services recommandent maintenant fortement au moins TLS v1.2 pour son profil de sécurité global amélioré.,

problème de nommage TLS vs STARTTLS

Une cause de confusion autour des noms de ces différentes technologies est que certains logiciels de messagerie utilisent incorrectement le terme TLS alors qu’ils auraient dû utiliser STARTTLS.

Les anciennes versions de Thunderbird en particulier utilisaient « TLS » pour signifier que STARTTLS devrait être utilisé pour mettre à niveau la connexion, et la connexion devrait échouer si STARTTLS n’est pas pris en charge.

ces versions utilisaient également le terme « TLS, si disponible »., « TLS, si disponible » signifiait que le programme essaierait d’utiliser STARTTLS pour mettre à niveau la connexion si le serveur le supportait, mais sinon, utilisez une connexion non sécurisée.

historique de l’authentification par e-mail

pour comprendre SSL/TLS et STARTTLS, il est nécessaire de comprendre L’historique de ces normes et comment l’industrie a évolué pour faire face aux comportements des utilisateurs et des clients existants et aux nouvelles menaces. SSL / TLS et STARTTLS n’avaient pas encore été inventés lorsque IMAP, POP et SMTP étaient déjà bien établis., Ajouter un cryptage approprié à ceux-ci sans casser le comportement existant était un défi important.

numéros de port SSL/TLS vs plaintext/STARTTLS

selon le type de connexion et le chiffrement pris en charge, des numéros de port différents peuvent être nécessaires.

étant donné que les technologies de messagerie telles que IMAP, POP et SMTP existaient déjà lors de L’invention de SSL/TLS, les connexions en texte brut étaient attendues sur les ports standard de143,110 et25., Alors que de nombreux services prenaient en charge L’utilisation de STARTTLS pour mettre à niveau la connexion sur ces ports, si un client ne prenait pas également en charge cela, il y avait un risque que des informations sensibles telles que les mots de passe soient transmises en texte brut. Cela exposait les mots de passe à un risque important d’être volés si un attaquant surveillait la connexion.

Pour ajouter de la sécurité, trois nouveaux ports ont été décidées. Ces ports attendaient des connexions SSL/TLS immédiatement, ils ont donc refusé toute tentative de transmission d’informations en texte brut., Cela protégeait les informations sensibles comme les mots de passe et les adresses e – mail-soit les informations seraient transférées en toute sécurité, soit elles ne le seraient pas du tout. Ceci est appelé « TLS implicite », ce qui signifie qu’il est prévu que les deux côtés d’une connexion prennent en charge les connexions cryptées.,icit TLS

IMAP Port 143 Port 993 POP Port 110 Port 995 SMTP Port 25 Port 465

The problem with multiple port numbers

Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Afin de ne prendre en charge qu’un seul port, STARTTLS a été créé pour permettre à un client de se connecter en texte brut, puis de mettre à niveau la connexion vers une connexion sécurisée utilisant SSL/TLS.

Ce n’était pas non plus une solution parfaite. Il y avait déjà de vrais utilisateurs qui utilisaient les nouveaux numéros de port avec leurs clients de messagerie. Les clients de messagerie peuvent avoir une très longue durée de vie, donc la désactivation des nouveaux ports n’était pas une option conviviale.

Il y avait aussi des problèmes de sécurité avec l’utilisation du port unique et la mise à niveau de la connexion., Même si des mécanismes ont été ajoutés à chaque protocole pour indiquer aux clients que la connexion prenait en charge la mise à niveau vers une connexion sécurisée et qu’ils ne devaient pas tenter de se connecter jusqu’à ce que la mise à niveau soit terminée, Certains logiciels clients l’ont ignoré et ont envoyé des mots de passe et des noms Même si le serveur rejetait la connexion, les informations de connexion avaient déjà été envoyées non cryptées de toute façon, ce qui les rendait vulnérables.

D’autres logiciels ont ignoré les instructions du serveur pour mettre à niveau la connexion et ont simplement envoyé à l’utilisateur une erreur de connexion en retour., Cela a causé beaucoup de confusion sur ce qui n’allait pas.

étant donné que ces deux problèmes ont causé des problèmes importants pour les clients existants, la plupart des services ont continué à utiliser des connexions en texte brut sur un numéro de port et offrent des connexions SSL / TLS implicites sécurisées sur un deuxième numéro de port.

Aujourd’hui, de nombreux services de messagerie, y compris Fastmail, désactivent désormais entièrement les connexions IMAP et POP en texte brut sur les ports143 Et 110, laissant des connexions cryptées sur les ports 993 Et 995 comme la seule option., Cela garantit que tous les clients utilisent des connexions SSL/TLS cryptées pour protéger les données sensibles.

SMTP STARTTLS en tant qu’exception

Il y a une exception à ce débat sur L’utilisation de SSL / TLS et l’utilisation de STARTTLS: SMTP.

SMTP a été conçu à l’origine pour le transfert de messages. Le transfert de messages via SMTP se produit entre différents serveurs qui ne sont pas conçus pour une interaction directe avec le client. Pour cette raison, il n’était pas nécessaire dans la conception initiale de tenir compte des problèmes avec les clients de messagerie comme la transmission des informations de mot de passe utilisateur en texte clair.,

ce n’est que plus tard que SMTP a commencé à être utilisé pour la soumission de messages ainsi que pour le transfert de messages. Dans les premiers jours des clients de messagerie configurés pour envoyer en utilisant SMTP, ceux-ci utilisaient le port 25, le même port qui était utilisé dans les systèmes de messagerie eux-mêmes pour le transfert. Dans les systèmes de transfert de courrier plus importants, il était possible de verrouiller le port 25 afin qu’il ne puisse être utilisé que par des adresses IP de confiance., Bien sûr, il n’était pas possible de le faire pour les milliers d’adresses IP domestiques utilisant SMTP sur leurs clients de messagerie pour la soumission d’e-mails, et donc le port 587 a été défini pour la soumission de messages.

L’Utilisation du port587 au lieu de25 pour la soumission de messages est devenue populaire à peu près au même moment où l’importance de l’utilisation du cryptage pour protéger les données sensibles est devenue bien connue et les extensions de cryptage, Le Port 587, défini spécifiquement pour la soumission de messages, prend en charge la mise à niveau vers une connexion sécurisée avec STARTTLS.

Le Port 465 a également été défini pour la soumission SMTP, et contrairement au port 587, 465 prend spécifiquement en charge les TLS implicites tout comme le port 993 pour IMAP et 995 pour pop., À cette époque, cependant, l’industrie s’attendait à ce que toutes les connexions pour IMAP, POP et SMTP soient mises à niveau en toute sécurité en utilisant STARTTLS au lieu du TLS implicite préféré aujourd’hui. Pour cette raison, peu de temps après la définition du port 465, il a été révoqué. Tous les clients devaient se déplacer pour utiliser STARTTLS sur le port 587.

le logiciel client de messagerie peut avoir une très longue durée de vie et il peut être difficile pour la plupart des utilisateurs d’apporter eux-mêmes des modifications aux ports et aux paramètres du serveur., De nombreux clients de messagerie ont également été conçus pour fonctionner uniquement avec SSL/TLS implicite sur le port 465. Cela a rendu très difficile la suppression du port 465 en option pour les clients, même s’il a été officiellement révoqué.

Les Services prenant en charge SMTP pour la soumission de messages exigent désormais que les clients se connectant sur le port standard587 mettent à niveau la connexion à l’aide de STARTTLS et se connectent avec un nom d’utilisateur et un mot de passe.,

en 2018, la recommandation officielle a de nouveau changé pour utiliser TLS implicite sur le port465. En raison de la longue durée de vie du logiciel client de messagerie, il devrait être très long avant que le port 587 ne puisse être interrompu.

étant donné que les services ont maintenant éloigné les utilisateurs de l’utilisation du port25 pour la soumission d’e-mails, ils ont maintenant été en mesure de bloquer ce port pour les utilisateurs et de l’utiliser en interne uniquement pour son objectif initial de transmission d’e-mails., Port 25 avait été une source importante de spam en raison des ordinateurs des utilisateurs infectés par des virus d’envoi de spam, ce qui a considérablement réduit la quantité de spam envoyé par les services qui ont bloqué ce port.

Actuellement, il y a une propagation uniforme des utilisateurs utilisant SSL/TLS implicite avec le port465 et les utilisateurs mettant à niveau leur connexion avec STARTTLS en utilisant le port587. Fastmail continuera d’offrir les deux options dans un avenir prévisible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *