esta é uma página informativa sobre a história de SSL, TLS e STARTTLS e as diferenças entre estes protocolos. Se você está procurando informações sobre configurar o seu cliente de E-mail, por favor, vá aqui.
muitas vezes há um pouco de confusão em torno dos diferentes termos SSL, TLS e STARTTLS.
SSL e TLS são a tecnologia padrão para criptografar conexões entre dois computadores. Isso impede que terceiros espionem essas comunicações.
TLS é o sucessor do SSL., É suportado por todos os sistemas modernos e seguros que lidam com o tráfego da internet, incluindo Fastmail. Os Termos SSL e TLS são muitas vezes trocados e usados indistintamente.
STARTTLS é diferente de SSL e TLS. Antes da criptografia ser padrão, muitas conexões entre um cliente de E-mail e o servidor foram feitas de forma insegura. Isto colocou informações pessoais em risco de serem roubadas. STARTTLS ajudou a reduzir esse risco, tomando uma conexão insegura existente e atualizando – a para uma conexão segura que usava SSL/TLS. STARTTLS trabalha com SSL ou TLS.,
SSL/TLS números de versão
Os números de versão do SSL e TLS em ordem da mais antiga para a mais recente é:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
Quando uma conexão é feita para uma porta que tem SSL ou TLS, ou quando uma conexão insegura é atualizada para proteger por STARTTLS, ambos os lados da conexão concordarão em uma determinada versão, dependendo do que é suportado. Isso pode significar que se o servidor suporta o mais novo TLS v1. 3, mas o cliente de E-mail conectando ao servidor só suporta TLS v1.,1, ambos os lados podem usar TLS v1. 1.
enquanto quase todos os Serviços online suportam SSL / TLS hoje em dia, nem todos os Serviços suportam o mais recente TLS v1.3. SSL foi oficialmente desactualizado (a partir de Maio de 2018) e não está mais em uso pelos serviços online modernos. O software atual suporta TLS v1.0, TLS v1.1 e TLS v1.2, e muitos sites e serviços agora recomendam fortemente pelo menos TLS v1.2 para o seu perfil de segurança geral melhorado.,
TLS vs STARTTLS problema de nomenclatura
uma causa de confusão em torno dos nomes dessas diferentes tecnologias é que algum software de E-mail incorretamente usa o termo TLS quando eles deveriam ter usado STARTTLS.
versões mais antigas do Thunderbird em particular usado ” TLS ” para significar que STARTTLS deve ser usado para atualizar a conexão, e a conexão deve falhar se STARTTLS não é suportado.
estas versões também usaram o termo “TLS, se disponível”., “TLS, if available” meant that the program would try to use STARTTLS to upgrade the connection if the server supported this, but otherwise use an inseguro connection.
a history of email authentication
To understand SSL / TLS and STARTTLS, it’s necessary to understand the history behind these standards and how the industry has evolved to deal with existing user and client behaviors and new threats. SSL / TLS e STARTTLS ainda não tinham sido inventados quando IMAP, POP e SMTP já estavam bem estabelecidos., Adicionar encriptação adequada a estes sem quebrar o comportamento existente foi um desafio significativo.
SSL / TLS vs purotext / STARTTLS port numbers
dependendo do tipo de ligação e da encriptação que é suportada, poderão ser necessários diferentes números de porta.
Desde a tecnologia de e-mail como IMAP, POP e SMTP já estavam em torno de quando o SSL/TLS foi inventado, texto simples ligações eram esperados em toda a portas padrão de 143 110 e 25., Enquanto muitos serviços suportados usando STARTTLS para atualizar a conexão nessas portas, se um cliente não suportar isso, havia um risco de informações sensíveis como senhas sendo transmitidas em texto simples. Isto coloca senhas em risco significativo de serem roubadas se um atacante estivesse observando a conexão.
para adicionar segurança, três novos portos foram decididos. Estas portas esperavam conexões SSL / TLS imediatamente, então eles recusaram qualquer tentativa de transmitir qualquer informação em texto simples., Esta informação sensível salvaguardada, como senhas e endereços de E – mail-ou a informação seria transferida de forma segura, ou não seria de todo transferida. Isto é referido como” TLS implícitos”, o que significa que é esperado que ambos os lados de uma conexão irá suportar conexões criptografadas.,icit TLS
143 993 110 995 25 465 The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., A fim de suportar apenas uma única porta, STARTTLS foi criado como uma forma de um cliente se conectar através de texto simples, e, em seguida, atualizar a conexão para um seguro que usou SSL/TLS.esta também não foi uma solução perfeita. Já havia usuários reais que estavam usando os novos números de portas com seus clientes de E-mail. Os clientes de E-mail podem viver muito tempo, então desativar os novos portos não foi uma opção fácil de usar.
também houve preocupações de segurança com a utilização do único porto e a modernização da conexão., Mesmo que os mecanismos foram adicionados a cada protocolo para dizer aos clientes que a conexão suportada atualizar para uma conexão segura e eles não devem tentar login até que a atualização foi concluída, algum software cliente ignorou isso e enviou senhas e nomes de usuário sobre texto simples de qualquer maneira. Mesmo se o servidor rejeitou a conexão, os detalhes de login já haviam sido enviados sem criptografia de qualquer maneira, o que os deixou vulneráveis.
outro software ignorou a instrução do servidor para atualizar a conexão, e apenas Enviou ao usuário um erro de login em troca., Isto causou muita confusão sobre o que estava errado.
Uma vez que ambas estas questões causaram problemas significativos para os clientes existentes, a maioria dos serviços continuou a usar conexões de texto simples em um número de porto, e oferecer conexões SSL/TLS seguras e implícitas em um segundo número de Porto.
Hoje, muitos serviços de e-mail, incluindo Fastmail, agora desactivar texto simples IMAP e POP logins inteiramente nas portas 143 e 110, deixando de conexões criptografadas nas portas 993 e 995 como a única opção., Isto garante que todos os clientes usam conexões SSL/TLS criptografadas para proteger dados sensíveis.
STARTTLS SMTP como excepção
existe uma excepção a este debate em torno da utilização de SSL/TLS e da utilização de STARTTLS: SMTP.
SMTP foi originalmente projetado para transferência de mensagens. A transferência de mensagens através de SMTP ocorre entre diferentes servidores que não são projetados para interação direta com o cliente. Por esta razão, não foi necessário no projeto inicial para explicar os problemas com os clientes de E-mail, como a transmissão de informações de senha do usuário em cleartext.,
foi apenas mais tarde que o SMTP começou a ser usado para a submissão de mensagens, bem como para a transferência de mensagens. Nos primeiros dias dos clientes de E-mail configurados para enviar usando SMTP, estes porta usado 25, a mesma porta que foi usada dentro dos próprios sistemas de E-mail para transferência. Em sistemas de transferência de correio maiores, foi possível bloquear a porta 25 de modo que só poderia ser usado por endereços IP confiáveis., Claro, não foi possível fazer isso para os muitos milhares de endereços IP domésticos usando SMTP em seus clientes de E-mail para envio de E-mail, e assim port 587 foi definido para envio de mensagens.
Usando a porta 587 em vez de 25 para envio de mensagem tornou-se popular em torno do mesmo tempo que a importância da utilização de criptografia para proteger dados sensíveis, tornou-se bem conhecida e criptografia de extensões foram sendo definidas para SMTP., Porto 587, definido especificamente para o envio de mensagens, suportado a actualização para uma ligação segura com STARTTLS.
Porto 465 também foi definido para envio SMTP, e ao contrário de porta 587 465 especificamente com suporte implícito TLS apenas como porta de 993 para IMAP e 995 POP., Neste momento, no entanto, a indústria tinha se movido para a expectativa de que todas as conexões para IMAP, POP, e SMTP seria atualizado de forma segura usando STARTTLS em vez do TLS implícito preferido hoje. Por esta razão, logo após o port 465 foi definido, ele foi revogado. Todos os clientes deveriam mudar – se para usar STARTTLS no Porto 587.
O software cliente de E-mail pode ser de longa duração, e pode ser um desafio para a maioria dos usuários para fazer alterações às portas e configurações do servidor., Muitos clientes de E-mail também foram projetados nesta época para apenas trabalhar com SSL/TLS implícitos no port 465. Isso tornou muito difícil remover port 465 como uma opção para os clientes, apesar de ter sido oficialmente revogada.
Os serviços que suportam o SMTP para envio de mensagens exigem agora que os clientes que se liguem no porto padrão 587 actualizem a ligação usando STARTTLS, e assinem com um nome de utilizador e senha.,
em 2018, a recomendação oficial mudou novamente para usar TLS implícitos sobre o porto 465. Devido à natureza de longa vida do software cliente de E-mail, espera-se que seja um tempo muito longo antes do port 587 pode ser descontinuado.
Uma vez que os serviços já afastaram os usuários do uso do port 25 para envio de E-mail, eles agora foram capazes de bloquear este porto para os usuários e usá-lo internamente apenas para o seu propósito original de transmissão de E-mail., Port 25 tinha sido uma fonte significativa de spam devido aos computadores dos usuários estarem infectados com vírus de envio de spam, então isso reduziu muito a quantidade de spam enviado através de serviços que bloquearam esta porta.
atualmente, há uma distribuição uniforme de usuários usando SSL/TLS implícitos COM port 465 e usuários atualizando sua conexão com STARTTLS usando port 587. O Fastmail continuará a oferecer ambas as opções no futuro previsível.