Dit is een informatieve pagina over de geschiedenis van SSL, TLS en STARTTLS en de verschillen tussen deze protocollen. Als u op zoek bent naar informatie over het opzetten van uw e-mailclient, ga dan hier.
Er is vaak nogal wat verwarring rond de verschillende termen SSL, TLS en STARTTLS.
SSL en TLS zijn de standaardtechnologie om verbindingen tussen twee computers te versleutelen. Dit voorkomt dat derden deze communicatie bespioneren.
TLS is de opvolger van SSL., Het wordt ondersteund door alle moderne en veilige systemen die internetverkeer verwerken, inclusief Fastmail. De termen SSL en TLS worden vaak verwisseld en door elkaar gebruikt.
STARTTLS is anders dan SSL en TLS. Voordat versleuteling standaard was, werden veel verbindingen tussen een e-mailclient en de server onveilig gedaan. Dit bracht persoonlijke informatie in gevaar te worden gestolen. STARTTLS hielp dit risico te verminderen door een bestaande onveilige verbinding te nemen en te upgraden naar een beveiligde verbinding die SSL/TLS gebruikte. STARTTLS werkt met SSL of TLS.,
SSL / TLS versienummers
de versienummers van SSL en TLS in volgorde van oudste naar Nieuwste is:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
wanneer een verbinding wordt gemaakt met een poort met SSL of TLS, of wanneer een onveilige verbinding wordt geüpgraded naar secure door STARTTLS, zullen beide zijden van de verbinding het eens worden over een bepaalde versie, afhankelijk van wat wordt ondersteund. Dit kan betekenen dat als de server de nieuwste TLS v1.3 ondersteunt, maar de e-mailclient die verbinding maakt met de server alleen TLS v1 ondersteunt.,1, beide kanten zouden TLS v1.1 kunnen gebruiken.
hoewel bijna alle online services tegenwoordig SSL/TLS ondersteunen, ondersteunen niet alle services de nieuwste TLS v1.3. SSL is officieel verouderd (vanaf mei 2018) en wordt niet meer gebruikt door moderne online diensten. De huidige software ondersteunt TLS v1. 0, TLS v1.1 en TLS v1.2, en veel sites en services raden nu ten minste TLS v1.2 aan voor zijn algemene verbeterde beveiligingsprofiel.,
TLS vs STARTTLS naamgevingsprobleem
Eén oorzaak van verwarring rond de namen van deze verschillende technologieën is dat sommige e-mailsoftware de term TLS onjuist gebruikt terwijl ze STARTTLS hadden moeten gebruiken.
oudere versies van Thunderbird in het bijzonder gebruikt “TLS” om te betekenen dat STARTTLS moet worden gebruikt om de verbinding te upgraden, en de verbinding moet mislukken als STARTTLS niet wordt ondersteund.
deze versies gebruikten ook de term “TLS, indien beschikbaar”., “TLS, indien beschikbaar” betekende dat het programma zou proberen om STARTTLS te gebruiken om de verbinding te upgraden als de server dit ondersteunde, maar anders gebruik maken van een onveilige verbinding.
een geschiedenis van e-mail authenticatie
om SSL / TLS en STARTTLS te begrijpen, is het noodzakelijk om de geschiedenis achter deze standaarden te begrijpen en hoe de industrie is geëvolueerd om te gaan met bestaand gebruikers-en clientgedrag en nieuwe bedreigingen. SSL / TLS en STARTTLS waren nog niet uitgevonden toen IMAP, POP en SMTP al goed ingeburgerd waren., Het toevoegen van een goede encryptie aan deze zonder het bestaande gedrag te breken was een belangrijke uitdaging.
SSL / TLS vs plaintext / STARTTLS poortnummers
afhankelijk van het type verbinding en welke versleuteling wordt ondersteund, kunnen verschillende poortnummers nodig zijn.
omdat e-mailtechnologie zoals IMAP, POP en SMTP al bestond toen SSL/TLS werd uitgevonden, werden platte tekstverbindingen verwacht over de standaardpoorten van 143
, 110
, en 25
., Hoewel veel services het gebruik van STARTTLS ondersteunden om de verbinding op deze poorten te upgraden, bestond het risico dat gevoelige informatie zoals wachtwoorden in platte tekst werden verzonden als een client dit niet ook ondersteunde. Hierdoor lopen wachtwoorden een aanzienlijk risico om gestolen te worden als een aanvaller de verbinding bekijkt.
om beveiliging toe te voegen werden drie nieuwe poorten gekozen. Deze poorten verwachtten onmiddellijk SSL / TLS-verbindingen, dus weigerden ze elke poging om informatie in platte tekst te verzenden., Dit beschermde gevoelige informatie zoals wachtwoorden en e – mailadressen-ofwel de informatie zou veilig worden overgedragen, of het zou helemaal niet worden overgedragen. Dit wordt aangeduid als “impliciete TLS”, wat betekent dat de verwachting is dat beide zijden van een verbinding versleutelde verbindingen zullen ondersteunen.,icit TLS
143
993
110
995
25
465
The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Om slechts één poort te ondersteunen, werd STARTTLS gemaakt als een manier voor een client om verbinding te maken via platte tekst, en vervolgens de verbinding te upgraden naar een beveiligde verbinding die SSL/TLS gebruikte.
Dit was ook geen perfecte oplossing. Er waren al echte gebruikers die de nieuwe poortnummers gebruikten met hun e-mailclients. E-mailclients kunnen een zeer lange levensduur hebben, dus het uitschakelen van de nieuwe poorten was geen gebruiksvriendelijke optie.
Er waren ook beveiligingsproblemen met het gebruik van de enkele poort en het upgraden van de verbinding., Hoewel mechanismen aan elk protocol werden toegevoegd om clients te vertellen dat de verbinding een upgrade naar een beveiligde verbinding ondersteunde en ze niet zouden moeten proberen in te loggen totdat de upgrade voltooid was, negeerde sommige clientsoftware dit en stuurden wachtwoorden en Gebruikersnamen toch via platte tekst. Zelfs als de server de verbinding heeft geweigerd, waren de inloggegevens al ongecodeerd verzonden, waardoor ze kwetsbaar waren.
andere software negeerde de serverinstructie om de verbinding te upgraden, en stuurde de gebruiker een inlogfout terug., Dit veroorzaakte veel verwarring over wat er mis was.
omdat beide problemen aanzienlijke problemen veroorzaakten voor bestaande clients, bleven de meeste services platte tekstverbindingen op één poortnummer gebruiken en veilige, impliciete SSL/TLS-verbindingen op een tweede poortnummer aanbieden.
tegenwoordig schakelen veel e-mailservices, waaronder Fastmail, IMAP-en POP-logins volledig uit op poorten 143
en 110
, waardoor versleutelde verbindingen op poorten 993
en 995
de enige optie zijn., Dit zorgt ervoor dat alle clients versleutelde SSL/TLS-verbindingen gebruiken om gevoelige gegevens te beschermen.
SMTP STARTTLS als uitzondering
Er is één uitzondering op dit debat rond het gebruik van SSL/TLS en het gebruik van STARTTLS: SMTP.
SMTP is oorspronkelijk ontworpen voor berichtoverdracht. Berichtenoverdracht via SMTP vindt plaats tussen verschillende servers die niet zijn ontworpen voor directe interactie met de client. Om deze reden was het niet nodig in het vroege ontwerp om rekening te houden met de problemen met e-mailclients zoals het verzenden van gebruikerswachtwoord informatie in duidelijke tekst.,
pas later werd SMTP gebruikt voor het verzenden van berichten en het overbrengen van berichten. In de vroege dagen van e-mailclients ingesteld om te verzenden met SMTP, deze gebruikt poort 25
, dezelfde poort die werd gebruikt in de mail systemen zelf voor de overdracht. In grotere mail transfer systemen was het mogelijk om poort 25
te vergrendelen, zodat het alleen gebruikt kon worden door vertrouwde IP adressen., Het was natuurlijk niet mogelijk om dit te doen voor de vele duizenden thuis IP-adressen die SMTP gebruiken op hun e-mailclients voor e-mailverzending, en dus werd port 587
gedefinieerd voor berichtverzending.
met poort 587
in plaats van 25
Voor het indienen van berichten werd populair rond dezelfde tijd dat het belang van versleuteling om gevoelige gegevens te beschermen bekend werd en encryptie-extensies werden gedefinieerd voor SMTP., Poort 587
, specifiek gedefinieerd voor het indienen van berichten, ondersteunde upgraden naar een beveiligde verbinding met STARTTLS.
poort 465
werd ook gedefinieerd voor SMTP-indiening, en in tegenstelling tot poort 587
, 465
ondersteunde specifiek impliciete TLS net als poort 993
voor IMAP en 995
voor pop., Op dit moment had de industrie echter de verwachting dat alle verbindingen voor IMAP, POP en SMTP veilig zouden worden opgewaardeerd met behulp van STARTTLS in plaats van de voorkeur impliciete TLS vandaag. Om deze reden, kort nadat poort 465
was gedefinieerd, werd het herroepen. Van alle clients werd verwacht dat ze overgingen naar STARTTLS op poort 587
.
Mailclientsoftware kan een zeer lange levensduur hebben en het kan voor de meeste gebruikers een uitdaging zijn om zelf wijzigingen aan te brengen in poorten en serverinstellingen., Veel e-mailclients zijn in deze tijd ook ontworpen om alleen te werken met impliciete SSL/TLS op poort 465
. Dit maakte het erg moeilijk om port 465
als optie voor klanten te verwijderen, hoewel het officieel werd ingetrokken.
diensten die SMTP ondersteunen voor het indienen van berichten vereisen nu dat clients die verbinding maken op de standaardpoort 587
de verbinding upgraden met behulp van STARTTLS, en inloggen met een gebruikersnaam en wachtwoord.,
In 2018 veranderde de officiële aanbeveling opnieuw in het gebruik van impliciete TLS over poort 465
. Vanwege de lange levensduur van e-mailclientsoftware wordt verwacht dat het een zeer lange tijd zal duren voordat port 587
kan worden stopgezet.
omdat services gebruikers hebben verplaatst van het gebruik van poort 25
voor e-mailverzending, zijn ze nu in staat geweest om deze poort voor gebruikers te blokkeren en intern alleen te gebruiken voor het oorspronkelijke doel van e-mailoverdracht., Port 25
was een belangrijke bron van spam geweest omdat de computers van gebruikers besmet waren met virussen die spam verzenden, dus dit heeft de hoeveelheid spam die via services werd verzonden die deze poort hebben geblokkeerd sterk verminderd.
momenteel is er een zelfs spread van gebruikers die impliciete SSL/TLS gebruiken met poort 465
en gebruikers die hun verbinding upgraden met STARTTLS met poort 587
. Fastmail zal beide opties in de nabije toekomst blijven aanbieden.