SSL, TLS, og STARTTLS

SSL, TLS, og STARTTLS

Dette er en informativ side om historien av SSL, TLS, og STARTTLS og forskjellene mellom disse protokollene. Hvis du leter etter informasjon om å sette opp din e-post klient, kan du gå hit.

Det er ofte ganske mye forvirring rundt de ulike begrepene SSL, TLS, og STARTTLS.

SSL og TLS er standard teknologi til å kryptere tilkoblinger mellom to datamaskiner. Dette forhindrer at noen tredjeparter fra å spionere på denne kommunikasjonen.

TLS er etterfølgeren til SSL., Det støttes av alle moderne og sikre systemer som håndterer internett-trafikk, inkludert Fastmail. Vilkårene SSL og TLS er ofte slått og brukt om hverandre.

STARTTLS er forskjellig SSL og TLS. Før kryptering standard, er mange forbindelser mellom en e-post klient og server ble gjort insecurely. Dette satte personlig informasjon i fare for å bli stjålet. STARTTLS bidratt til å redusere denne risikoen ved å ta et eksisterende usikker tilkobling og oppgradere den til en sikker forbindelse som brukes SSL/TLS. STARTTLS arbeider med SSL eller TLS.,

SSL/TLS versjon tall

versjonsnummer av SSL og TLS i rekkefølge fra den eldste til den nyeste er:

  1. SSL v2
  2. SSL v3
  3. TLS-v1.0
  4. TLS-v1.1
  5. TLS-v1.2
  6. TLS-v1.3.

Når en tilkobling er foretatt til en port som har SSL eller TLS, eller når en usikker tilkobling er oppgradert for å sikre ved STARTTLS, begge sider av forbindelsen vil bli enige om en bestemt versjon, avhengig av hva som støttes. Dette kan bety at hvis serveren støtter den nyeste TLS-v1.3, men den e-post-klienten kobler til serveren bare støtter TLS-v1.,1, begge sider kan bruke TLS-v1.1.

Mens nesten alle online-tjenester støtter SSL/TLS i dag, ikke alle tjenester som støtter de nyeste TLS-v1.3. SSL har blitt offisielt gjelder ikke lenger (som i Mai 2018) og er ikke lenger i bruk av moderne elektroniske tjenester. Programvaren støtter TLS-v1.0, TLS-v1.1, og TLS-v1.2, og mange nettsteder og tjenester nå anbefaler minst TLS-v1.2 for sin generelle forbedret sikkerhet profil.,

TLS vs STARTTLS navngi problem

En årsak til forvirring rundt navnene på disse ulike teknologiene er at noen e-post programvare feilaktig bruker betegnelsen TLS når de skulle ha brukt STARTTLS.

Eldre versjoner av Thunderbird særlig brukt «TLS» til å bety at STARTTLS skal brukes til å oppgradere den forbindelse, og i den forbindelse skal mislykkes hvis STARTTLS er ikke støttet.

Disse versjonene også brukt begrepet «TLS, hvis det er tilgjengelig»., «TLS, hvis det er tilgjengelig» menes at programmet vil prøve å bruke STARTTLS å oppgradere tilkobling hvis serveren støttet dette, men ellers bruke en usikker tilkobling.

En historie av e-post godkjenning

for Å forstå SSL/TLS og STARTTLS, er det nødvendig å forstå historien bak disse standardene og hvordan bransjen har utviklet seg til å håndtere eksisterende bruker og klient atferd og nye trusler. SSL/TLS og STARTTLS hadde ikke blitt oppfunnet ennå da POP -, IMAP-og SMTP-var allerede godt etablert., Å legge til rette kryptering til disse uten å bryte eksisterende atferd var en betydelig utfordring.

SSL/TLS vs ren tekst/STARTTLS portnumre

Avhengig av hvilken type tilkobling og hva kryptering er støttet, forskjellige portnumre kan være nødvendig.

Siden e-teknologien som POP -, IMAP-og SMTP allerede var rundt når SSL/TLS ble oppfunnet av ren tekst-tilkoblinger var forventet over standard porter av 143, 110, og 25., Mens mange tjenestene som støttes bruke STARTTLS for å oppgradere den forbindelse på disse portene, hvis en klient som ikke støtter også dette, det var en risiko for at sensitiv informasjon som passord overføres i klartekst. Dette sette passord på en betydelig risiko for å bli stjålet dersom en angriper ser den forbindelse.

for Å legge til sikkerhet, tre nye porter ble vedtatt. Disse portene forventet SSL/TLS-tilkoblinger umiddelbart, slik at de nektet ethvert forsøk på å overføre informasjon i ren tekst., Dette ivaretas sensitiv informasjon som passord og e-post adresser – enten informasjonen ville bli overført på en sikker måte, eller det ikke ville bli overført i det hele tatt. Dette er referert til som «implisitt TLS», noe som betyr at det er forventet at begge sider av en forbindelse vil støtte krypterte tilkoblinger.,icit TLS

IMAP Port 143 Port 993 POP Port 110 Port 995 SMTP Port 25 Port 465

The problem with multiple port numbers

Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., For å støtte bare en enkelt port, STARTTLS ble opprettet som en måte for en klient for å koble til over vanlig tekst, og deretter oppgradere forbindelse til et sikkert en som brukes SSL/TLS.

Dette var ikke en perfekt løsning. Det var allerede reelle brukere som var ved hjelp av den nye porten tall med sine e-postklienter. E-postklienter kan være svært levd lenge, så deaktivere den nye porter var ikke et brukervennlig alternativ.

Det ble også sikkerheten bekymringer med bruk av singel-port og oppgradere den forbindelse., Selv om mekanismene som ble lagt til hver protokoll for å fortelle kunder om at tilkobling støttes oppgradere til en sikker forbindelse og at de ikke bør forsøke å logge inn før oppgraderingen ble fullført, noen klientprogramvare ignorerte dette og sendte passord og brukernavn over ren tekst uansett. Selv om serveren avviste tilkobling, logg inn detaljer hadde allerede blitt sendt ukryptert likevel, som forlot dem sårbare.

Annen programvare ignorert serveren instruks om å oppgradere den forbindelse, og har nettopp sendt brukeren en innlogging feil i retur., Dette forårsaket mye forvirring om hva som var galt.

Siden begge disse problemene forårsaket betydelige problemer for eksisterende kunder, de fleste tjenester fortsatte å bruke ren tekst-tilkoblinger på en port nummer, og tilbyr sikker, implisitt SSL/TLS-tilkoblinger på en annen port nummer.

i Dag er det mange e-posttjenester, inkludert Fastmail, nå deaktivere ren tekst IMAP-og POP-innlogginger helt på porter 143 og 110, forlater krypterte tilkoblinger på porter 993 og 995 som det eneste alternativet., Dette gjør at alle kunder benytter kryptert SSL/TLS-tilkoblinger for å beskytte sensitive data.

SMTP-STARTTLS som et unntak

Det er ett unntak fra denne debatten rundt bruk av SSL/TLS og bruke STARTTLS: SMTP.

SMTP ble opprinnelig utviklet for melding overføring. Melding overføring via SMTP oppstår mellom forskjellige servere som ikke er laget for direkte klient samhandling. Dette er årsaken til at det ikke var nødvendig i begynnelsen av design til å redegjøre for problemer med e-postklienter som overføring av bruker passord informasjon i cleartext.,

Det var først senere at SMTP begynte å bli brukt for melding innlevering samt melding overføring. I de tidlige dagene av e-postklienter satt opp til å sende ved å bruke SMTP, disse brukes port 25, den samme porten som ble brukt i postsystemer seg for overføring. I større mail transfer systemer, det var mulig å låse ned port 25 så det kan bare brukes av klarerte IP-adresser., Selvfølgelig, det var ikke mulig å gjøre dette for de mange tusen hjem IP-adresser ved å bruke SMTP-på sin e-post-klienter for e-post innlevering, og så-port 587 ble definert for melding underkastelse.

ved Hjelp av port 587 i stedet for 25 etter melding for innsending ble populær på rundt samme tid som betydningen av å bruke kryptering for å beskytte sensitive data ble godt kjent og kryptering utvidelser ble definert for SMTP., Port 587, definert spesielt for melding innsending, støttet oppgradering til en sikker tilkobling med STARTTLS.

– Port 465 var også definert for SMTP-bidrag, og i motsetning til port 587, 465 spesielt støttet implisitt TLS-akkurat som port 993 for IMAP og 995 for POP., På denne tiden, men bransjen hadde flyttet til en forventning om at alle tilkoblinger for POP -, IMAP-og SMTP-ville bli oppgradert sikkert bruke STARTTLS i stedet for den foretrukne implisitt TLS i dag. For denne grunn, kort tid etter port 465 ble definert, det var opphevet. Alle kundene var forventet å gå over til å bruke STARTTLS på port 587.

e-Post klient programvare kan være svært lang bodde, og det kan være utfordrende for de fleste brukere til å gjøre endringer til havner og server innstillingene selv., Mange e-postklienter ble også utviklet i denne tiden til bare å virke med en implisitt SSL/TLS på port 465. Dette gjorde det svært vanskelig å fjerne port 465 som et alternativ for kunder, selv om det ble offisielt opphevet.

Tjenester som støtter SMTP for melding innsending nå krever at klienter som kobler seg på standard port 587 oppgradere den forbindelse bruke STARTTLS, og logg deg på med brukernavn og passord.,

I 2018, den offisielle anbefaling endret igjen til å bruke implisitt TLS over port 465. På grunn av den langvarige arten av e-post klient programvare, og det forventes å være en svært lang tid før port 587 kan bli avviklet.

Fordi tjenestene har nå flyttet brukere bort fra å bruke port 25 for e-post innlevering, de har nå vært i stand til å blokkere denne porten for brukere og bruke det bare internt til sitt opprinnelige formål på e-overføring., Port 25 hadde vært en betydelig kilde til spam på grunn av brukere’ datamaskiner blir infisert med spam sende virus, slik at dette i stor grad har redusert mengden av spam som sendes via tjenester som har blokkert denne porten.

i Dag er det en jevn spredning av brukere ved hjelp av implisitt SSL/TLS-med-port 465 og brukere å oppgradere sin forbindelse med STARTTLS ved hjelp av port 587. Fastmail vil fortsette å tilby begge alternativene for overskuelig fremtid.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *