jest to strona informacyjna o historii SSL, TLS i STARTTLS oraz różnicach między tymi protokołami. Jeśli szukasz informacji na temat konfigurowania klienta poczty e-mail, przejdź tutaj.
często jest sporo zamieszania wokół różnych terminów SSL, TLS i STARTTLS.
SSL i TLS są standardową technologią szyfrowania połączeń między dwoma komputerami. Zapobiega to szpiegowaniu tych komunikatów przez osoby trzecie.
TLS jest następcą SSL., Jest obsługiwany przez wszystkie nowoczesne i bezpieczne systemy obsługujące ruch internetowy, w tym Fastmail. Terminy SSL i TLS są często przełączane i używane zamiennie.
STARTTLS różni się od SSL i TLS. Zanim szyfrowanie stało się standardem, wiele połączeń między klientem poczty e-mail a serwerem odbywało się niepewnie. To naraża dane osobowe na niebezpieczeństwo kradzieży. STARTTLS pomogło zmniejszyć to ryzyko, biorąc istniejące niebezpieczne połączenie i uaktualniając je do bezpiecznego połączenia, które używało SSL / TLS. STARTTLS współpracuje z SSL lub TLS.,
numery wersji SSL/TLS
numery wersji SSL i TLS w kolejności od najstarszych do najnowszych to:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
gdy nawiązane zostanie połączenie z portem, który ma protokół SSL lub TLS, lub gdy niebezpieczne połączenie zostanie uaktualnione do funkcji secure przez STARTTLS, obie strony połączenia zgodzą się na konkretną wersję w zależności od tego, co jest obsługiwane. Może to oznaczać, że serwer obsługuje najnowszą wersję TLS v1. 3, ale klient poczty e-mail łączący się z serwerem obsługuje tylko wersję TLS v1.,1, obie strony mogą używać TLS v1. 1.
chociaż prawie wszystkie usługi online obsługują obecnie SSL/TLS, nie wszystkie usługi obsługują najnowszą wersję TLS v1.3. SSL został oficjalnie wycofany (stan na Maj 2018) i nie jest już używany przez nowoczesne usługi online. Obecne oprogramowanie obsługuje TLS v1.0, TLS v1.1 i TLS v1.2, a wiele witryn i usług zdecydowanie zaleca co najmniej TLS v1.2 ze względu na ogólny ulepszony profil zabezpieczeń.,
problem z nazwami TLS vs STARTTLS
jedną z przyczyn zamieszania wokół nazw tych różnych technologii jest to, że niektóre programy pocztowe nieprawidłowo używają terminu TLS, gdy powinny używać STARTTLS.
starsze wersje Thunderbirda w szczególności używały „TLS”, aby oznaczać, że STARTTLS powinien być używany do aktualizacji połączenia, a połączenie powinno się nie udać, jeśli STARTTLS nie jest obsługiwany.
te wersje również używały terminu „TLS, jeśli są dostępne”., „TLS, if available” oznaczało, że program spróbowałby użyć STARTTLS do uaktualnienia połączenia, jeśli serwer to obsługiwał, ale poza tym używał niezabezpieczonego połączenia.
Historia uwierzytelniania poczty e-mail
aby zrozumieć SSL / TLS i STARTTLS, konieczne jest zrozumienie historii tych standardów i sposobu, w jaki branża ewoluowała, aby radzić sobie z istniejącymi zachowaniami użytkowników i klientów oraz nowymi zagrożeniami. SSL / TLS i STARTTLS nie zostały jeszcze wynalezione, gdy IMAP, POP i SMTP były już dobrze znane., Dodanie do nich odpowiedniego szyfrowania bez naruszania istniejących zachowań było znaczącym wyzwaniem.
numery portów SSL/TLS vs zwykły tekst/STARTTLS
w zależności od rodzaju połączenia i obsługiwanego szyfrowania mogą być potrzebne różne numery portów.
ponieważ technologia e-mail, taka jak IMAP, POP i SMTP, była już dostępna, gdy wynaleziono SSL/TLS, połączenia tekstowe były oczekiwane przez standardowe porty143,110 I25., Podczas gdy wiele usług obsługiwanych za pomocą STARTTLS w celu uaktualnienia połączenia na tych portach, jeśli klient również tego nie obsługiwał, istniało ryzyko przesyłania poufnych informacji, takich jak hasła w postaci zwykłego tekstu. Naraża to hasła na znaczne ryzyko kradzieży, jeśli atakujący obserwował połączenie.
aby dodać bezpieczeństwo, zdecydowano się na trzy nowe porty. Porty te oczekiwały natychmiastowych połączeń SSL / TLS, więc odmówiły próby przesłania jakichkolwiek informacji w postaci zwykłego tekstu., Chroniło to poufne informacje, takie jak hasła i adresy e-mail – albo informacje byłyby przesyłane bezpiecznie, albo nie byłyby przesyłane w ogóle. Jest to określane jako „implicit TLS”, co oznacza, że oczekuje się, że obie strony połączenia będą obsługiwać połączenia szyfrowane.,icit TLS
143 993 110 995 25 465 The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., W celu obsługi tylko jednego portu, STARTTLS został stworzony jako sposób dla klienta, aby połączyć się przez zwykły tekst, a następnie uaktualnić połączenie do bezpiecznego, które używało SSL / TLS.
nie było to również idealne rozwiązanie. Byli już prawdziwi użytkownicy, którzy używali nowych numerów portów ze swoimi klientami e-mail. Klienci poczty e-mail mogą być bardzo długotrwałe, więc wyłączenie nowych portów nie było przyjazną dla użytkownika opcją.
pojawiły się również problemy z bezpieczeństwem korzystania z Pojedynczego portu i aktualizacji połączenia., Mimo że do każdego protokołu dodano mechanizmy informujące klientów, że połączenie obsługuje aktualizację do bezpiecznego połączenia i nie powinni oni próbować zalogować się do czasu zakończenia aktualizacji, niektóre oprogramowanie klienckie zignorowało to i wysłało hasła i nazwy użytkowników za pomocą zwykłego tekstu. Nawet jeśli serwer odrzucił połączenie, dane logowania zostały już wysłane bez szyfrowania, co pozostawiło je podatne na ataki.
inne oprogramowanie zignorowało instrukcję serwera, aby uaktualnić połączenie, a w zamian wysłało użytkownikowi błąd logowania., To spowodowało wiele zamieszania co było nie tak.
ponieważ oba te problemy spowodowały poważne problemy dla istniejących klientów, większość usług nadal używała połączeń tekstowych na jednym numerze portu i oferowała bezpieczne, ukryte połączenia SSL / TLS na drugim numerze portu.
obecnie wiele usług e-mail, w tym Fastmail, wyłącza teraz logowanie IMAP i POP wyłącznie na portach 143 I 110, pozostawiając szyfrowane połączenia na portach 993 I 995 jako jedyna opcja., Dzięki temu wszyscy klienci korzystają z szyfrowanych połączeń SSL/TLS w celu ochrony poufnych danych.
SMTP STARTTLS jako wyjątek
istnieje jeden wyjątek w tej debacie wokół używania SSL / TLS i używania STARTTLS: SMTP.
SMTP został pierwotnie zaprojektowany do przesyłania wiadomości. Przesyłanie wiadomości przez SMTP odbywa się między różnymi serwerami, które nie są przeznaczone do bezpośredniej interakcji z klientem. Z tego powodu we wczesnym etapie projektowania nie było konieczne uwzględnianie problemów z klientami pocztowymi, takich jak przekazywanie informacji o hasłach użytkownika w cleartext.,
dopiero później SMTP zaczął być używany do przesyłania wiadomości, a także do przesyłania wiadomości. We wczesnych czasach klientów poczty elektronicznej skonfigurowanych do wysyłania za pomocą SMTP, używali oni portu 25, tego samego portu, który był używany w samych systemach pocztowych do przesyłania. W większych systemach przesyłania poczty możliwe było zablokowanie portu 25, aby mógł być używany tylko przez zaufane adresy IP., Oczywiście nie było to możliwe dla wielu tysięcy domowych adresów IP przy użyciu SMTP na swoich klientach pocztowych do przesyłania wiadomości e-mail, a więc Port 587 został zdefiniowany do przesyłania wiadomości.
używanie portu587 zamiast25 do przesyłania wiadomości stało się popularne mniej więcej w tym samym czasie, gdy znaczenie używania szyfrowania do ochrony poufnych danych stało się dobrze znane, A rozszerzenia szyfrowania były definiowane dla SMTP., Port 587, zdefiniowany specjalnie do przesyłania wiadomości, obsługiwał aktualizację do bezpiecznego połączenia z STARTTLS.
Port 465 został również zdefiniowany dla przesyłania SMTP, a w przeciwieństwie do portu 587, 465 obsługiwał Ukryte TLS, podobnie jak port 993 dla IMAP i 995 dla Pop., W tym czasie jednak branża przeszła do oczekiwań, że wszystkie połączenia dla IMAP, POP i SMTP będą bezpiecznie aktualizowane przy użyciu STARTTLS zamiast preferowanego obecnie TLS. Z tego powodu, krótko po zdefiniowaniu portu 465 został on odwołany. Oczekuje się, że wszyscy klienci będą używać STARTTLS na porcie 587.
oprogramowanie klienta poczty może być bardzo długotrwałe, a dla większości użytkowników samodzielne wprowadzanie zmian w portach i ustawieniach serwera może być trudne., Wiele klientów poczty e-mail zostało również zaprojektowanych w tym czasie do pracy tylko z ukrytym SSL/TLS na porcie 465. To sprawiło, że bardzo trudno było usunąć port 465 jako opcję dla klientów, mimo że został oficjalnie odwołany.
usługi obsługujące SMTP do przesyłania wiadomości wymagają teraz, aby klienci łączący się na standardowym porcie587 uaktualnili połączenie za pomocą STARTTLS i zalogowali się przy użyciu nazwy użytkownika i hasła.,
w 2018 roku oficjalna rekomendacja ponownie zmieniła się na używanie domyślnego TLS przez port465. Ze względu na długotrwały charakter oprogramowania klienta poczty, oczekuje się, że port 587 będzie mógł zostać przerwany bardzo długo.
ponieważ usługi odsunęły użytkowników od korzystania z portu25 do wysyłania wiadomości e-mail, mogły teraz zablokować ten port dla użytkowników i używać go wewnętrznie tylko do pierwotnego zamierzonego celu przesyłania wiadomości e-mail., Port 25 był znaczącym źródłem spamu, ponieważ komputery użytkowników były zainfekowane wirusami wysyłającymi spam, więc znacznie zmniejszyło to ilość spamu wysyłanego przez usługi, które zablokowały ten port.
obecnie istnieje równomierna liczba użytkowników korzystających z niejawnego SSL/TLS z portem465 I użytkowników uaktualniających swoje połączenie z STARTTLS za pomocą portu587. Fastmail będzie nadal oferować obie opcje w przewidywalnej przyszłości.