Ez egy információs oldal az SSL, TLS, és STARTTLS történetéről, valamint a protokollok közötti különbségekről. Ha információt keres az e-mail kliens beállításáról, kérjük, látogasson el ide.
gyakran van egy kis zavart körül a különböző kifejezések SSL, TLS, STARTTLS.
az SSL és a TLS a két számítógép közötti kapcsolatok titkosításának standard technológiája. Ez megakadályozza, hogy harmadik felek kémkedjenek ezeken a kommunikációkon.
a TLS az SSL utódja., Ezt minden modern és biztonságos rendszer támogatja, amely kezeli az internetes forgalmat, beleértve a Fastmailt is. Az SSL és TLS kifejezéseket gyakran cserélik és használják felcserélhetően.
A STARTTLS különbözik az SSL-től és a TLS-től. Mielőtt a titkosítás szabványos lett volna, az e-mail kliens és a szerver közötti sok kapcsolat bizonytalanná vált. Ezzel a személyes adatok ellopásának veszélye áll fenn. A STARTTLS segített csökkenteni ezt a kockázatot azáltal, hogy meglévő, nem biztonságos kapcsolatot létesített, majd SSL/TLS-t használó biztonságos kapcsolatra frissítette. STARTTLS működik akár SSL vagy TLS.,
SSL / TLS verziószámok
az SSL és a TLS verziószámai a legrégebbitől a legújabbig:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
Ha az SSL-t vagy TLS-t tartalmazó porthoz csatlakozik, vagy ha a nem biztonságos kapcsolatot a STARTTTLS biztonságossá frissíti, a kapcsolat mindkét oldala egyetért egy adott verzióval, attól függően, hogy mi támogatott. Ez azt jelentheti, hogy ha a kiszolgáló támogatja a legújabb TLS v1.3-at, de a kiszolgálóhoz csatlakozó e-mail kliens csak a TLS v1-et támogatja.,1, mindkét fél használhatja TLS v1.1.
míg ma szinte minden online szolgáltatás támogatja az SSL/TLS-t, nem minden szolgáltatás támogatja a legújabb TLS v1.3-at. Az SSL hivatalosan elavult (2018 májusától), és a modern online szolgáltatások már nem használják. A jelenlegi szoftver támogatja a TLS v1.0-t, a TLS v1.1-et és a TLS v1.2-t, és sok webhely és szolgáltatás most már erősen ajánlja legalább a TLS v1.2-t az Általános jobb biztonsági profiljához.,
TLS vs STARTTLS névadási probléma
a különböző technológiák neve körüli összetévesztés egyik oka az, hogy egyes e-mail szoftverek helytelenül használják a TLS kifejezést, amikor a STARTTLS-t kellett volna használniuk.
A Thunderbird régebbi verziói különösen a “TLS” – t használták, ami azt jelenti, hogy a STARTTLS-t a kapcsolat frissítésére kell használni, és a kapcsolat meghiúsulhat, ha a STARTTLS nem támogatott.
Ezek a verziók a “TLS, ha rendelkezésre áll”kifejezést is használták., A “TLS, ha elérhető” azt jelentette, hogy a program megpróbálja használni a STARTTLS-t a kapcsolat frissítéséhez, ha a szerver támogatja ezt, de egyébként nem biztonságos kapcsolatot használ.
az e-mail hitelesítés története
az SSL/TLS és a STARTTLS megértéséhez meg kell érteni a szabványok mögötti előzményeket, valamint azt, hogy az iparág hogyan fejlődött a meglévő felhasználói és ügyfél viselkedések és új fenyegetések kezelésére. Az SSL / TLS-t és a STARTTLS-t még nem találták fel, amikor az IMAP, a POP és az SMTP már jól megalapozott volt., A megfelelő titkosítás hozzáadása ezekhez a meglévő viselkedés megszakítása nélkül jelentős kihívás volt.
SSL / TLS vs plaintext / STARTTLS port számok
a kapcsolat típusától és a titkosítás támogatásától függően különböző portszámokra lehet szükség.
mivel az olyan e-mail technológiák, mint az IMAP, a POP és az SMTP már az SSL/TLS feltalálásakor is jelen voltak, a 143
, 110
és 25
., Bár sok szolgáltatás támogatott a STARTTLS használatával a kapcsolat frissítéséhez ezeken a portokon, ha az ügyfél ezt nem is támogatta, fennáll annak a veszélye, hogy érzékeny információkat, például jelszavakat egyszerű szövegben továbbítanak. Ez jelentős kockázatot jelent a jelszavak ellopására, ha a támadó figyeli a kapcsolatot.
a biztonság növelése érdekében három új portról döntöttek. Ezek a portok azonnal SSL/TLS kapcsolatokat vártak, ezért megtagadtak minden olyan kísérletet, amely bármilyen információt egyszerű szövegben továbbít., Ez a védett érzékeny információk, mint például a jelszavak és e – mail címek-vagy az információkat biztonságosan továbbítanák, vagy egyáltalán nem továbbítanák. Ezt “implicit TLS” – nek nevezik, ami azt jelenti, hogy a kapcsolat mindkét oldala támogatja a titkosított kapcsolatokat.,icit TLS
143
993
110
995
25
465
The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Annak érdekében, hogy csak egyetlen portot támogasson, a STARTTLS-t úgy hozták létre, hogy az ügyfél egyszerű szövegen keresztül csatlakozzon, majd frissítse a kapcsolatot egy biztonságos SSL/TLS-re.
Ez szintén nem volt tökéletes megoldás. Már voltak valódi felhasználók, akik az új portszámokat használják e-mail ügyfeleikkel. Az e-mail kliensek nagyon hosszú életűek lehetnek, így az új portok letiltása nem volt felhasználóbarát lehetőség.
biztonsági aggályok merültek fel az egyetlen port használatával és a kapcsolat frissítésével kapcsolatban is., Annak ellenére, hogy mechanizmusokat adtak hozzá az egyes protokollokhoz, hogy elmondják az ügyfeleknek, hogy a kapcsolat támogatja a biztonságos kapcsolatra történő frissítést, és nem szabad megpróbálniuk bejelentkezni a frissítés befejezéséig, néhány ügyfélszoftver ezt figyelmen kívül hagyta, és jelszavakat és felhasználóneveket küldött egyszerű szöveg felett. Még akkor is, ha a szerver elutasította a kapcsolatot, a bejelentkezési adatokat már titkosítatlanul küldték el, ami sebezhetővé tette őket.
más szoftver figyelmen kívül hagyta a szerver utasításait a kapcsolat frissítéséhez, cserébe csak bejelentkezési hibát küldött a felhasználónak., Ez sok zavart okozott abban, hogy mi volt a baj.
mivel mindkét probléma jelentős problémákat okozott a meglévő ügyfelek számára, a legtöbb szolgáltatás továbbra is egyszerű szöveges kapcsolatokat használt egy portszámon, és biztonságos, implicit SSL/TLS kapcsolatokat kínál egy második portszámon.
ma, sok e-mail szolgáltatások, beleértve a Fastmail, most tiltsa sima szöveg IMAP és POP bejelentkezések teljes egészében a portok 143
és 110
, így titkosított kapcsolatokat portok 993
és 995
mint az egyetlen lehetőség., Ez biztosítja, hogy minden ügyfél titkosított SSL / TLS kapcsolatokat használjon az érzékeny adatok védelme érdekében.
SMTP STARTTLS mint kivétel
van egy kivétel ez alól a vita körül SSL / TLS és a STARTTLS: SMTP.
az SMTP-t eredetileg üzenetátvitelre tervezték. Az SMTP-n keresztüli üzenetátvitel olyan különböző kiszolgálók között történik, amelyeket nem közvetlen ügyfél-interakcióra terveztek. Ez okból nem volt szükség a korai tervezési-figyelembe véve a problémák mail ügyfeleket is, mint adattovábbító felhasználói jelszó információk cleartext.,
csak később kezdték használni az SMTP-t az üzenet benyújtására, valamint az üzenetátvitelre. Az első napokban az e-mail kliensek létre küldeni SMTP, ezek a használt port 25
, ugyanazt a portot, hogy használták belül mail rendszerek magukat transzfer. Nagyobb levélátviteli rendszerekben a 25
portot le lehetett zárni, így csak megbízható IP-címek használhatók., Persze, ez nem volt lehetséges, hogy ezt a sok ezer otthoni IP-címek segítségével SMTP az e-mail kliensek e-mail benyújtása, így port 587
definiáltuk üzenet benyújtása.
a587
helyett25
üzenet benyújtása népszerűvé vált, körülbelül ugyanabban az időben, hogy a titkosítás használatának fontosságát, hogy megvédje érzékeny adatok vált ismertté, és titkosítási kiterjesztések kerültek meghatározásra SMTP., Port 587
, kifejezetten az üzenet benyújtására definiálva, támogatott frissítés biztonságos kapcsolatra a STARTTLS-szel.
Port 465
is definiálták SMTP benyújtása, és ellentétben port 587
, 465
kifejezetten támogatott implicit TLS mint port 993
IMAP és
a pop., Ebben az időben azonban az iparág arra a várakozásra jutott, hogy az IMAP, a POP és az SMTP összes csatlakozását biztonságosan korszerűsítik a STARTTLS használatával, a mai preferált implicit TLS helyett. Ezért röviddel a465
port meghatározása után visszavonták. Minden kliensnek át kellett költöznie a STARTTLS használatához a587
porton.
a levelező kliens szoftver nagyon hosszú élettartamú lehet,és a legtöbb felhasználó számára kihívást jelenthet a portok és a szerver beállításainak módosítása., Sok e-mail klienst is terveztek ebben az időben, hogy csak implicit SSL/TLS-vel dolgozzanak a 465
porton. Ez nagyon megnehezítette a 465
port eltávolítását az ügyfelek számára opcióként, annak ellenére, hogy hivatalosan visszavonták.
Az üzenet elküldéséhez SMTP-t támogató szolgáltatások most megkövetelik, hogy az ügyfelek a standard porton csatlakozzanak 587
frissítse a kapcsolatot a STARTLS használatával, és jelentkezzen be felhasználónévvel és jelszóval.,
2018-ban a hivatalos ajánlás ismét implicit TLS-re változott a 465
porton. Mivel a hosszú életű jellegét e-mail kliens szoftver, várhatóan egy nagyon hosszú idő előtt port 587
lehet állítani.
mivel a szolgáltatások most áthelyezték a felhasználókat a port használatától 25
az e-mail elküldéséhez, most már képesek voltak blokkolni ezt a portot a felhasználók számára, és belsőleg csak az eredeti e-mail továbbítás céljára használják., Port 25
jelentős spamforrás volt a felhasználók számítógépeinek spamküldő vírusokkal való fertőzése miatt, így ez jelentősen csökkentette a portot blokkoló szolgáltatásokon keresztül küldött spam mennyiségét.
jelenleg a 465
implicit SSL/TLS-t használó felhasználók egyenletes eloszlása van, a felhasználók pedig a 587
port használatával frissítik kapcsolatukat a STARTTL-ekkel. A Fastmail továbbra is mindkét lehetőséget kínálja a belátható jövőben.