SSL, TLS und STARTTLS

SSL, TLS und STARTTLS

Dies ist eine Informationsseite über den Verlauf von SSL, TLS und STARTTLS und die Unterschiede zwischen diesen Protokollen. Wenn Sie nach Informationen zum Einrichten Ihres E-Mail-Clients suchen, gehen Sie bitte hier.

Es gibt oft ziemlich viel Verwirrung um die verschiedenen Begriffe SSL, TLS und STARTTLS.

SSL und TLS sind die Standardtechnologie zum Verschlüsseln von Verbindungen zwischen zwei Computern. Dies verhindert, dass Dritte diese Kommunikation ausspionieren.

TLS ist der Nachfolger von SSL., Es wird von allen modernen und sicheren Systemen unterstützt, die den Internetverkehr verarbeiten, einschließlich Fastmail. Die Begriffe SSL und TLS werden häufig umgeschaltet und synonym verwendet.

STARTTLS unterscheidet sich von SSL und TLS. Bevor die Verschlüsselung Standard war, wurden viele Verbindungen zwischen einem E-Mail-Client und dem Server unsicher hergestellt. Dadurch drohen persönliche Informationen gestohlen zu werden. STARTTLS trug dazu bei, dieses Risiko zu verringern, indem eine vorhandene unsichere Verbindung hergestellt und auf eine sichere Verbindung mit SSL/TLS aktualisiert wurde. STARTTLS funktioniert entweder mit SSL oder TLS.,

SSL / TLS Versionsnummern

Die Versionsnummern von SSL und TLS in der Reihenfolge vom ältesten zum neuesten lautet:

  1. SSL v2
  2. SSL v3
  3. TLS v1.0
  4. TLS v1.1
  5. TLS v1.2
  6. TLS v1.3.

Wenn eine Verbindung zu einem Port mit SSL oder TLS hergestellt wird oder wenn eine unsichere Verbindung auf secure by STARTTLS aktualisiert wird, einigen sich beide Seiten der Verbindung auf eine bestimmte Version, je nachdem, was unterstützt wird. Dies kann bedeuten, dass der E-Mail-Client, der eine Verbindung zum Server herstellt, nur TLS v1 unterstützt, wenn der Server das neueste TLS v1.3 unterstützt.,1, beide Seiten könnten TLS v1.1 verwenden.

Während fast alle Online-Dienste heute SSL/TLS unterstützen, unterstützen nicht alle Dienste das neueste TLS v1.3. SSL wurde offiziell veraltet (Stand Mai 2018) und wird von modernen Online-Diensten nicht mehr verwendet. Aktuelle Software unterstützt TLS v1.0, TLS v1.1 und TLS v1.2, und viele Websites und Dienste empfehlen jetzt dringend mindestens TLS v1.2 für sein insgesamt verbessertes Sicherheitsprofil.,

TLS vs STARTTLS Namensproblem

Eine Ursache für Verwirrung um die Namen dieser verschiedenen Technologien ist, dass einige E-Mail-Software den Begriff TLS falsch verwendet, wenn sie STARTTLS verwendet haben sollten.

Ältere Versionen von Thunderbird verwendeten insbesondere „TLS“, um zu bedeuten, dass STARTTLS zum Aktualisieren der Verbindung verwendet werden sollte und die Verbindung fehlschlagen sollte, wenn STARTTLS nicht unterstützt wird.

Diese Versionen verwendeten auch den Begriff „TLS, falls verfügbar“., „TLS, if available“ bedeutete, dass das Programm versuchen würde, STARTTLS zu verwenden, um die Verbindung zu aktualisieren, wenn der Server dies unterstützt, aber ansonsten eine unsichere Verbindung verwenden würde.

Eine Geschichte der E-Mail-Authentifizierung

Um SSL / TLS und STARTTLS zu verstehen, ist es notwendig, die Geschichte hinter diesen Standards zu verstehen und wie sich die Branche entwickelt hat, um mit bestehendem Benutzer-und Clientverhalten und neuen Bedrohungen umzugehen. SSL / TLS und STARTTLS wurden noch nicht erfunden, als IMAP, POP und SMTP bereits etabliert waren., Das Hinzufügen einer ordnungsgemäßen Verschlüsselung zu diesen, ohne das vorhandene Verhalten zu beeinträchtigen, war eine erhebliche Herausforderung.

SSL / TLS vs Klartext / STARTTLS-Portnummern

Abhängig von der Art der Verbindung und der unterstützten Verschlüsselung werden möglicherweise unterschiedliche Portnummern benötigt.

Da E-Mail-Technologien wie IMAP, POP und SMTP bereits vorhanden waren, als SSL / TLS erfunden wurde, wurden Nur-Text-Verbindungen über die Standardports von 143, 110 und 25erwartet., Während viele Dienste die Verwendung von STARTTLS zum Aktualisieren der Verbindung auf diesen Ports unterstützten, bestand die Gefahr, dass vertrauliche Informationen wie Kennwörter im Klartext übertragen wurden, wenn ein Client dies nicht ebenfalls unterstützte. Dadurch besteht ein erhebliches Risiko, dass Passwörter gestohlen werden, wenn ein Angreifer die Verbindung beobachtet.

Um die Sicherheit zu erhöhen, wurden drei neue Ports beschlossen. Diese Ports erwarteten SSL / TLS-Verbindungen sofort und lehnten daher jeden Versuch ab, Informationen im Klartext zu übertragen., Dies schützte sensible Informationen wie Passwörter und E – Mail-Adressen-entweder würden die Informationen sicher übertragen oder gar nicht übertragen. Dies wird als „implizite TLS“ bezeichnet, was bedeutet, dass erwartet wird, dass beide Seiten einer Verbindung verschlüsselte Verbindungen unterstützen.,icit TLS

IMAP Port 143 Port 993 POP Port 110 Port 995 SMTP Port 25 Port 465

The problem with multiple port numbers

Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., Um nur einen einzelnen Port zu unterstützen, wurde STARTTLS erstellt, damit ein Client eine Verbindung über Klartext herstellen und dann die Verbindung auf eine sichere aktualisieren kann, die SSL/TLS verwendet.

Dies war auch keine perfekte Lösung. Es gab bereits echte Benutzer, die die neuen Portnummern mit ihren E-Mail-Clients verwendeten. E-Mail-Clients können sehr langlebig sein, daher war das Deaktivieren der neuen Ports keine benutzerfreundliche Option.

Es gab auch Sicherheitsbedenken bei der Verwendung des einzelnen Ports und der Aktualisierung der Verbindung., Obwohl jedem Protokoll Mechanismen hinzugefügt wurden, um Clients mitzuteilen, dass die Verbindung das Upgrade auf eine sichere Verbindung unterstützt, und sie nicht versuchen sollten, sich anzumelden, bis das Upgrade abgeschlossen war, ignorierten einige Client-Software dies und schickten Kennwörter und Benutzernamen sowieso über Klartext. Selbst wenn der Server die Verbindung ablehnte, wurden die Anmeldedaten ohnehin unverschlüsselt gesendet, wodurch sie anfällig wurden.

Andere software ignoriert die server anweisung zu aktualisieren die verbindung, und nur gesendet die benutzer eine login fehler in rückkehr., Dies verursachte eine Menge Verwirrung darüber, was falsch war.

Da diese beiden Probleme für bestehende Clients erhebliche Probleme verursachten, verwendeten die meisten Dienste weiterhin Nur-Text-Verbindungen für eine Portnummer und bieten sichere, implizite SSL/TLS-Verbindungen für eine zweite Portnummer.

Heute deaktivieren viele E-Mail-Dienste, einschließlich Fastmail, jetzt Nur-Text-IMAP und POP-Logins vollständig auf Ports 143 und 110, so dass verschlüsselte Verbindungen auf Ports 993 und 995 als einzige Option., Dies stellt sicher, dass alle Clients verschlüsselte SSL/TLS-Verbindungen verwenden, um vertrauliche Daten zu schützen.

SMTP STARTTLS als Ausnahme

Es gibt eine Ausnahme von dieser Debatte um die Verwendung von SSL / TLS und die Verwendung von STARTTLS: SMTP.

SMTP wurde ursprünglich für die Nachrichtenübertragung entwickelt. Die Nachrichtenübertragung über SMTP erfolgt zwischen verschiedenen Servern, die nicht für eine direkte Clientinteraktion ausgelegt sind. Aus diesem Grund war es im frühen Design nicht notwendig, die Probleme mit Mail-Clients wie die Übertragung von Benutzerpasswortinformationen im Klartext zu berücksichtigen.,

Erst später wurde SMTP sowohl für die Nachrichtenübermittlung als auch für die Nachrichtenübermittlung verwendet. In den frühen Tagen der E-Mail-Clients eingerichtet, um mit SMTP zu senden, verwendet diese Port 25, den gleichen Port, der in Mail-Systemen selbst für die Übertragung verwendet wurde. In größeren Mailübertragungssystemen war es möglich, den Port 25 zu sperren, sodass er nur von vertrauenswürdigen IP-Adressen verwendet werden konnte., Natürlich war es nicht möglich, dies für die vielen Tausend Heim-IP-Adressen zu tun, die SMTP auf ihren E-Mail-Clients für die E-Mail-Übermittlung verwendeten, und daher wurde port 587 für die Nachrichtenübermittlung definiert.

Die Verwendung von port 587 anstelle von 25 für die Nachrichtenübermittlung wurde etwa zur gleichen Zeit populär, als die Bedeutung der Verwendung von Verschlüsselung zum Schutz sensibler Daten bekannt wurde und Verschlüsselungserweiterungen für SMTP definiert wurden., Port 587, definiert speziell für die Nachrichtenübermittlung, unterstützt das Upgrade auf eine sichere Verbindung mit STARTTLS.

Port 465 definiert wurde, die für SMTP-übermittlung, und im Gegensatz zu port 587, 465 speziell unterstützt implizite TLS-genau wie port 993 für IMAP und 995 für POP., Zu diesem Zeitpunkt war die Branche jedoch zu der Erwartung übergegangen, dass alle Verbindungen für IMAP, POP und SMTP sicher mithilfe von STARTTLS anstelle der heute bevorzugten impliziten TLS aktualisiert werden. Aus diesem Grund wurde port 465 kurz nach der Definition widerrufen. Von allen Clients wurde erwartet, dass sie STARTTLS für Port 587.

Mail-Client-Software kann sehr langlebig sein, und es kann für die meisten Benutzer schwierig sein, Änderungen an Ports und Servereinstellungen selbst vorzunehmen., Viele E-Mail-Clients wurden in dieser Zeit auch so konzipiert, dass sie nur mit implizitem SSL/TLS an Port 465. Dies machte es sehr schwierig, port 465 als Option für Kunden zu entfernen, obwohl es offiziell widerrufen wurde.

Dienste, die SMTP für die Nachrichtenübermittlung unterstützen, erfordern nun, dass Clients, die eine Verbindung über den Standardport herstellen 587 Aktualisieren Sie die Verbindung mit STARTTLS und melden Sie sich mit einem Benutzernamen und einem Kennwort an.,

Im Jahr 2018 änderte sich die offizielle Empfehlung erneut zur Verwendung impliziter TLS über Port 465. Aufgrund der Langlebigkeit der E-Mail-Client-Software wird erwartet, dass es sehr lange dauert, bis port 587 eingestellt werden kann.

Da Dienste Benutzer jetzt von der Verwendung von Port 25 für die E-Mail-Übermittlung entfernt haben, konnten sie diesen Port jetzt für Benutzer blockieren und intern nur für den ursprünglich vorgesehenen Zweck der E-Mail-Übertragung verwenden., Port 25 war eine bedeutende Quelle von Spam, da die Computer der Benutzer mit Spam-Viren infiziert waren, sodass die Menge an Spam, die über Dienste gesendet wurde, die diesen Port blockiert haben, erheblich reduziert wurde.

Derzeit gibt es eine gleichmäßige Verbreitung von Benutzern, die implizites SSL/TLS mit Port 465 und Benutzern, die ihre Verbindung mit STARTTLS aktualisieren, mit port 587. Fastmail wird auch in absehbarer Zeit beide Optionen anbieten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.