Questa è una pagina informativa sulla cronologia di SSL, TLS e STARTTLS e sulle differenze tra questi protocolli. Se stai cercando informazioni sulla configurazione del tuo client di posta elettronica, vai qui.
C’è spesso un po ‘ di confusione intorno ai diversi termini SSL, TLS e STARTTLS.
SSL e TLS sono la tecnologia standard per crittografare le connessioni tra due computer. Ciò impedisce a terzi di spiare queste comunicazioni.
TLS è il successore di SSL., È supportato da tutti i sistemi moderni e sicuri che gestiscono il traffico Internet, incluso Fastmail. I termini SSL e TLS sono spesso commutati e usati in modo intercambiabile.
STARTTLS è diverso da SSL e TLS. Prima che la crittografia fosse standard, molte connessioni tra un client di posta elettronica e il server venivano eseguite in modo insicuro. Ciò ha messo le informazioni personali in pericolo di essere rubate. STARTTLS ha contribuito a ridurre questo rischio prendendo una connessione non sicura esistente e aggiornandola a una connessione sicura che utilizzava SSL/TLS. STARTTLS funziona con SSL o TLS.,
SSL/TLS numeri di versione
I numeri di versione di SSL e TLS in ordine dal più vecchio al più recente è:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
Quando viene effettuata una connessione a una porta che ha SSL o TLS, o quando una connessione non sicura viene aggiornata a secure da STARTTLS, entrambi i lati della connessione concorderanno su una particolare versione a seconda di ciò che è supportato. Ciò potrebbe significare che se il server supporta il più recente TLS v1.3, ma il client di posta elettronica che si connette al server supporta solo TLS v1.,1, entrambi i lati potrebbero utilizzare TLS v1.1.
Mentre quasi tutti i servizi online supportano SSL / TLS oggi, non tutti i servizi supportano il più recente TLS v1.3. SSL è stato ufficialmente deprecato (a partire da maggio 2018) e non è più utilizzato dai moderni servizi online. Il software attuale supporta TLS v1.0, TLS v1.1 e TLS v1.2 e molti siti e servizi ora raccomandano vivamente almeno TLS v1.2 per il suo profilo di sicurezza generale migliorato.,
TLS vs STARTTLS naming problem
Una causa di confusione sui nomi di queste diverse tecnologie è che alcuni software di posta elettronica usano erroneamente il termine TLS quando avrebbero dovuto usare STARTTLS.
Le versioni precedenti di Thunderbird in particolare usavano “TLS” per indicare che STARTTLS dovrebbe essere usato per aggiornare la connessione, e la connessione dovrebbe fallire se STARTTLS non è supportato.
Queste versioni utilizzavano anche il termine “TLS, se disponibile”., “TLS, se disponibile” significava che il programma avrebbe provato a utilizzare STARTTLS per aggiornare la connessione se il server lo supportava, ma altrimenti avrebbe utilizzato una connessione non sicura.
A history of email authentication
Per comprendere SSL / TLS e STARTTLS, è necessario comprendere la storia dietro questi standard e come il settore si è evoluto per affrontare i comportamenti esistenti di utenti e clienti e le nuove minacce. SSL / TLS e STARTTLS non erano ancora stati inventati quando IMAP, POP e SMTP erano già ben consolidati., Aggiungere una crittografia adeguata a questi senza rompere il comportamento esistente è stata una sfida significativa.
SSL/TLS vs plaintext/STARTTLS port numbers
A seconda del tipo di connessione e della crittografia supportata, potrebbero essere necessari numeri di porta diversi.
Poiché le tecnologie di posta elettronica come IMAP, POP e SMTP erano già in circolazione quando è stato inventato SSL/TLS, erano previste connessioni di testo normale attraverso le porte standard di143,110 e25., Mentre molti servizi supportavano l’utilizzo di STARTTLS per aggiornare la connessione su queste porte, se un client non supportava anche questo, c’era il rischio che informazioni sensibili come le password venissero trasmesse in testo normale. Questo ha messo le password a rischio significativo di essere rubato se un utente malintenzionato stava guardando la connessione.
Per aggiungere sicurezza, sono state decise tre nuove porte. Queste porte prevedevano connessioni SSL/TLS immediatamente, quindi hanno rifiutato qualsiasi tentativo di trasmettere qualsiasi informazione in testo normale., Questo salvaguardava le informazioni sensibili come password e indirizzi e – mail-o le informazioni sarebbero state trasferite in modo sicuro, o non sarebbero state trasferite affatto. Questo è indicato come” TLS implicito”, il che significa che si prevede che entrambi i lati di una connessione supporteranno connessioni crittografate.,icit TLS
143 993 110 995 25 465 The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Per supportare solo una singola porta, STARTTLS è stato creato come un modo per un client di connettersi tramite testo normale e quindi aggiornare la connessione a una sicura che utilizzava SSL/TLS.
Anche questa non era una soluzione perfetta. C’erano già utenti reali che stavano usando i nuovi numeri di porta con i loro client di posta elettronica. I client di posta elettronica possono essere molto longevi, quindi disabilitare le nuove porte non era un’opzione user friendly.
C’erano anche problemi di sicurezza con l’utilizzo della porta singola e l’aggiornamento della connessione., Anche se sono stati aggiunti meccanismi a ciascun protocollo per dire ai client che la connessione supportava l’aggiornamento a una connessione sicura e che non dovevano tentare di accedere fino al completamento dell’aggiornamento, alcuni software client lo ignoravano e inviavano comunque password e nomi utente su testo normale. Anche se il server ha rifiutato la connessione, i dettagli di accesso erano già stati inviati in modo non crittografato, il che li ha lasciati vulnerabili.
Altri software hanno ignorato le istruzioni del server per aggiornare la connessione e hanno appena inviato all’utente un errore di accesso in cambio., Ciò ha causato molta confusione su ciò che era sbagliato.
Poiché entrambi questi problemi hanno causato problemi significativi per i client esistenti, la maggior parte dei servizi ha continuato a utilizzare connessioni di testo normale su un numero di porta e offre connessioni SSL / TLS implicite sicure su un secondo numero di porta.
Oggi, molti servizi di posta elettronica, tra cui Fastmail, ora di disabilitare il testo normale IMAP e POP account di accesso interamente sulle porte 143 e 110, lasciando le connessioni crittografate su porte 993 e 995 come l’unica opzione., In questo modo tutti i client utilizzano connessioni SSL/TLS crittografate per proteggere i dati sensibili.
SMTP STARTTLS come eccezione
C’è un’eccezione a questo dibattito sull’uso di SSL / TLS e sull’uso di STARTTLS: SMTP.
SMTP è stato originariamente progettato per il trasferimento dei messaggi. Il trasferimento dei messaggi tramite SMTP avviene tra server diversi che non sono progettati per l’interazione diretta con il client. Per questo motivo non era necessario nei primi progetti tenere conto dei problemi con i client di posta elettronica come la trasmissione di informazioni sulla password dell’utente in chiaro.,
È stato solo più tardi che SMTP ha iniziato ad essere utilizzato per l’invio di messaggi e il trasferimento di messaggi. Nei primi giorni dei client di posta elettronica impostati per inviare utilizzando SMTP, questi usavano la porta 25, la stessa porta che veniva utilizzata all’interno dei sistemi di posta stessi per il trasferimento. Nei sistemi di trasferimento di posta più grandi, era possibile bloccare la porta 25 in modo che potesse essere utilizzata solo da indirizzi IP attendibili., Naturalmente, non è stato possibile farlo per le molte migliaia di indirizzi IP domestici che utilizzano SMTP sui loro client di posta elettronica per l’invio di e-mail, e quindi la porta 587 è stata definita per l’invio dei messaggi.
L’uso della porta 587 invece di 25 per l’invio dei messaggi è diventato popolare nello stesso periodo in cui l’importanza dell’uso della crittografia per proteggere i dati sensibili è diventata ben nota e le estensioni di crittografia sono state definite per SMTP., Port 587, definito specificamente per l’invio dei messaggi, supportato l’aggiornamento a una connessione sicura con STARTTLS.
Porta 465 è stato definito per l’invio SMTP, e a differenza di port 587 465 supportati implicita TLS come porta 993 per IMAP e 995 per il POP., In questo momento, tuttavia, l’industria era passata all’aspettativa che tutte le connessioni per IMAP, POP e SMTP sarebbero state aggiornate in modo sicuro utilizzando STARTTLS invece del TLS implicito preferito oggi. Per questo motivo, poco dopo la definizione della porta465, è stata revocata. Ci si aspettava che tutti i client si spostassero per utilizzare STARTTLS sulla porta 587.
Il software client di posta può essere molto lungo e può essere difficile per la maggior parte degli utenti apportare modifiche alle porte e alle impostazioni del server., Molti client di posta elettronica sono stati anche progettati in questo momento per funzionare solo con SSL / TLS implicito sulla porta465. Ciò ha reso molto difficile rimuovere la porta465 come opzione per i clienti, anche se è stata ufficialmente revocata.
I servizi che supportano SMTP per l’invio dei messaggi richiedono ora che i client che si connettono sulla porta standard 587 aggiornino la connessione utilizzando STARTTLS e accedano con un nome utente e una password.,
Nel 2018, la raccomandazione ufficiale è cambiata nuovamente utilizzando TLS implicito sulla porta 465. A causa della natura longeva del software client di posta elettronica, è previsto un tempo molto lungo prima che port 587 possa essere interrotto.
Poiché i servizi hanno ora allontanato gli utenti dall’utilizzo della porta25 per l’invio di e-mail, ora sono stati in grado di bloccare questa porta per gli utenti e utilizzarla internamente solo per lo scopo originale previsto per la trasmissione di e-mail., Port 25 era stata una fonte significativa di spam a causa dei computer degli utenti infettati da virus che inviavano spam, quindi questo ha notevolmente ridotto la quantità di spam inviata attraverso i servizi che hanno bloccato questa porta.
Attualmente, c’è una diffusione uniforme di utenti che utilizzano SSL/TLS implicito con port 465e utenti che aggiornano la loro connessione con STARTTLS usando port 587. Fastmail continuerà ad offrire entrambe le opzioni per il prossimo futuro.