aceasta este o pagină informativă despre istoria SSL, TLS, și STARTTLS și diferențele dintre aceste protocoale. Dacă sunteți în căutarea de informații despre configurarea clientului dvs. de e-mail, Vă rugăm să mergeți aici.
există adesea un pic de confuzie în jurul diferiților termeni SSL, TLS și STARTTLS.SSL și TLS sunt tehnologia standard pentru criptarea conexiunilor între două computere. Acest lucru împiedică orice terță parte să spioneze aceste comunicări.
TLS este succesorul SSL., Este susținut de toate sistemele moderne și sigure care gestionează traficul pe internet, inclusiv Fastmail. Termenii SSL și TLS sunt adesea comutați și utilizați interschimbabil.
STARTTLS este diferit de SSL și TLS. Înainte ca criptarea să fie standard, multe conexiuni între un client de e-mail și server au fost făcute în mod nesigur. Acest lucru pune informațiile personale în pericol de a fi furate. STARTTLS a ajutat la reducerea acestui risc prin luarea unei conexiuni nesigure existente și actualizarea acesteia la o conexiune securizată care folosea SSL/TLS. STARTTLS funcționează fie cu SSL sau TLS.,
SSL/TLS numere de versiune
versiunea numere de SSL și TLS în ordine, de la cel mai vechi la cel mai nou este:
- SSL v2
- SSL v3
- TLS v1.0
- TLS v1.1
- TLS v1.2
- TLS v1.3.
când se face o conexiune la un port care are SSL sau TLS sau când o conexiune nesigură este actualizată pentru a fi securizată de STARTTLS, ambele părți ale conexiunii vor conveni asupra unei anumite versiuni, în funcție de ceea ce este acceptat. Acest lucru ar putea însemna că dacă serverul acceptă cel mai nou TLS v1.3, dar clientul de e-mail care se conectează la server acceptă doar TLS v1.,1, ambele părți ar putea folosi TLS v1.1. în timp ce aproape toate serviciile online acceptă SSL/TLS astăzi, nu toate serviciile acceptă cel mai nou TLS v1.3. SSL a fost oficial învechit (din mai 2018) și nu mai este utilizat de serviciile online moderne. Curent software-ul suportă TLS v1.0, TLS v1.1, și TLS v1.2, și multe site-uri și servicii recomandăm cel puțin TLS v1.2 pentru îmbunătățirea generală profil de securitate.,
TLS vs STARTTLS denumire problemă
o cauză de confuzie în jurul numele acestor tehnologii diferite este că unele software-ul de e-mail utilizează incorect termenul TLS atunci când acestea ar fi folosit STARTTLS. versiunile mai vechi ale Thunderbird au folosit în special ” TLS ” pentru a însemna că STARTTLS ar trebui să fie folosit pentru a actualiza conexiunea, iar conexiunea ar trebui să eșueze dacă STARTTLS nu este acceptată.aceste versiuni au folosit, de asemenea, termenul „TLS, dacă este disponibil”., „TLS, dacă este disponibil” însemna că programul ar încerca să utilizeze STARTTLS pentru a actualiza conexiunea dacă serverul acceptă acest lucru, dar altfel folosește o conexiune nesigură.pentru a înțelege SSL/TLS și STARTTLS, este necesar să înțelegeți istoricul din spatele acestor standarde și modul în care industria a evoluat pentru a face față comportamentelor existente ale utilizatorilor și clienților și noilor amenințări. SSL / TLS și STARTTLS nu au fost inventate încă când IMAP, POP și SMTP erau deja bine stabilite., Adăugarea unei criptări adecvate la acestea fără a încălca comportamentul existent a fost o provocare semnificativă.
SSL/TLS vs plaintext / STARTTLS numere de port
în funcție de tipul de conexiune și ce criptare este acceptată, ar putea fi necesare diferite numere de port.
Deoarece tehnologia e-mail ca IMAP, POP, SMTP au fost deja când SSL/TLS a fost inventat, text simplu conexiuni-au așteptat pe porturi standard de 143
, 110
și 25
., În timp ce multe servicii suportate folosind STARTTLS pentru a face upgrade conexiunea pe aceste porturi, în cazul în care un client nu a sprijini, de asemenea, acest lucru, a existat un risc de informații sensibile, cum ar fi parolele transmise în text simplu. Acest lucru a pus parolele la un risc semnificativ de a fi furate dacă un atacator urmărea conexiunea. pentru a adăuga securitate, s-au decis trei porturi noi. Aceste porturi se așteptau la conexiuni SSL / TLS imediat, așa că au refuzat orice încercare de a transmite orice informație în text simplu., Acest lucru a protejat informațiile sensibile, cum ar fi parolele și adresele de e – mail-fie informațiile ar fi transferate în siguranță, fie nu ar fi transferate deloc. Aceasta este denumită „TLS implicit”, ceea ce înseamnă că este de așteptat ca ambele părți ale unei conexiuni să accepte conexiuni criptate.,icit TLS
143
993
110
995
25
465
The problem with multiple port numbers
Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Pentru a suporta un singur port, STARTTLS a fost creat ca o modalitate pentru un client de a se conecta prin text simplu și apoi să actualizeze conexiunea la una sigură care a folosit SSL/TLS.aceasta nu a fost, de asemenea, o soluție perfectă. Au existat deja utilizatori reali care foloseau noile numere de port cu clienții lor de e-mail. Clienții de e-mail pot trăi foarte mult, astfel încât dezactivarea noilor porturi nu a fost o opțiune Ușor de utilizat.
au existat, de asemenea, probleme de securitate cu utilizarea portului unic și actualizarea conexiunii., Chiar dacă mecanismele au fost adăugate la fiecare protocol să spun clientii care conexiunea a sprijinit modernizarea la o conexiune sigură și nu ar trebui să incercare de logare până upgrade-ul a fost completă, unele software-ul client a ignorat acest lucru și a trimis parole și nume de utilizator peste text simplu oricum. Chiar dacă serverul a respins conexiunea, detaliile de conectare fuseseră deja trimise necriptate, ceea ce le-a lăsat vulnerabile. alte programe au ignorat instrucțiunile serverului pentru a actualiza conexiunea și au trimis utilizatorului o eroare de conectare în schimb., Acest lucru a provocat o mulțime de confuzie cu privire la ceea ce a fost greșit.deoarece ambele probleme au cauzat probleme semnificative clienților existenți, majoritatea serviciilor au continuat să utilizeze conexiuni text simplu pe un număr de port și să ofere conexiuni SSL/TLS implicite și sigure pe un al doilea număr de port.
Azi, multe servicii de e-mail, inclusiv Fastmail, acum dezactiva text simplu IMAP și POP datele de conectare în întregime pe porturile 143
și 110
, lăsând conexiuni criptate pe porturile 993
și 995
ca singura opțiune., Acest lucru asigură că toți clienții folosesc conexiuni SSL/TLS criptate pentru a proteja datele sensibile.
SMTP STARTTLS ca o excepție
există o excepție de la această dezbatere în jurul folosind SSL/TLS și folosind STARTTLS: SMTP.
SMTP a fost inițial proiectat pentru transferul de mesaje. Transferul de mesaje prin SMTP are loc între diferite servere care nu sunt proiectate pentru interacțiunea directă cu clientul. Din acest motiv, nu a fost necesar, în proiectarea timpurie, să se țină seama de problemele cu clienții de e-mail, cum ar fi transmiterea informațiilor despre parola utilizatorului în text clar.,
abia mai târziu, SMTP a început să fie utilizat pentru transmiterea mesajelor, precum și pentru transferul de mesaje. În primele zile ale clienților de e-mail configurați să trimită folosind SMTP, acestea au folosit portul 25
, același port care a fost folosit în interiorul sistemelor de poștă pentru transfer. În sistemele mai mari de transfer de e-mail, a fost posibilă blocarea portului 25
, astfel încât acesta să poată fi utilizat numai de adrese IP de încredere., Desigur, nu a fost posibil să se facă acest lucru pentru multe mii de adrese IP acasă folosind SMTP pe clienții lor de e-mail pentru trimiterea de e-mail, și așa port 587
a fost definit pentru trimiterea de mesaje.
Folosind portul 587
în loc de 25
pentru mesaj de depunere a devenit popular în jurul același timp, că importanța folosind criptare pentru a proteja datele sensibile a devenit bine cunoscut și de criptare extensiile au fost definite pentru SMTP., Port 587
, definit special pentru transmiterea mesajelor, a acceptat actualizarea la o conexiune securizată cu STARTTLS.
Port 465
a fost, de asemenea, definite pentru SMTP supunere, și spre deosebire de portul 587
, 465
sprijinite în mod special implicit TLS doar ca port 993
pentru IMAP și 995
pentru POP., În acest moment, însă, industria a trecut la așteptarea ca toate conexiunile pentru IMAP, POP și SMTP să fie actualizate în siguranță folosind STARTTLS în loc de TLS implicit preferat astăzi. Din acest motiv, la scurt timp după ce portul 465
a fost definit, acesta a fost revocat. Toți clienții au fost așteptați să se mute pentru a utiliza STARTTLS pe portul 587
.
software-ul client de Mail poate fi foarte lungă durată, și poate fi o provocare pentru majoritatea utilizatorilor să facă modificări la porturile și setările serverului ei înșiși., Mulți clienți de e-mail au fost, de asemenea, proiectate în acest timp pentru a lucra numai cu implicit SSL/TLS pe portul 465
. Acest lucru a făcut foarte dificilă eliminarea portului 465
ca opțiune pentru clienți, chiar dacă a fost revocat Oficial.
Servicii de sprijin SMTP pentru mesaj depunerea necesită acum că clienții conectarea pe portul standard 587
upgrade la conexiune folosind STARTTLS, și conectați cu un nume de utilizator și o parolă.,
în 2018, recomandarea oficială a schimbat din nou la utilizarea implicită TLS peste port 465
. Din cauza naturii de lungă durată a software-ului client de e-mail, este de așteptat să fie un timp foarte lung înainte de port 587
poate fi întrerupt. deoarece Serviciile au mutat acum utilizatorii departe de a utiliza portul 25
pentru trimiterea de e-mail, au fost acum posibilitatea de a bloca acest port pentru utilizatori și să-l utilizați pe plan intern numai în scopul inițial destinat transmiterii de e-mail., Port 25
au fost o sursă importantă de spam din cauza utilizatorilor de calculatoare fi infectate cu spam-trimiterea de virusi, deci asta s-a redus foarte mult cantitatea de spam trimise prin servicii care au blocat acest port.
în Prezent, există o împrăștiere de utilizatori folosind implicit SSL/TLS cu port 465
și utilizatorii modernizarea lor legătură cu STARTTLS folosind portul 587
. Fastmail va continua să ofere ambele opțiuni pentru viitorul apropiat.