SSL, TLS och STARTTLS
Articles

SSL, TLS och STARTTLS

detta är en informationssida om SSL -, TLS-och STARTTLS-historiken och skillnaderna mellan dessa protokoll. Om du letar efter information om hur du konfigurerar din e-postklient, gå här.

det finns ofta en hel del förvirring kring de olika termerna SSL, TLS och STARTTLS.

SSL och TLS är standardtekniken för att kryptera anslutningar mellan två datorer. Detta hindrar tredje part från att spionera på dessa meddelanden.

TLS är efterföljaren till SSL., Det stöds av alla moderna och säkra system som hanterar Internettrafik, inklusive Fastmail. Termerna SSL och TLS byts ofta och används omväxlande.

STARTTLS skiljer sig från SSL och TLS. Innan kryptering var standard, många anslutningar mellan en e-postklient och servern gjordes osäkert. Detta innebär att personuppgifter riskerar att bli stulna. STARTTLS bidrog till att minska denna risk genom att ta en befintlig osäker anslutning och uppgradera den till en säker anslutning som använde SSL/TLS. STARTTLS fungerar med antingen SSL eller TLS.,

SSL/TLS versionsnummer

versionsnumren för SSL och TLS i ordning från äldsta till nyaste är:

  1. SSL v2
  2. SSL v3
  3. TLS v1.0
  4. TLS v1. 1
  5. TLS v1. 2
  6. TLS v1. 3.

När en anslutning görs till en port som har SSL eller TLS, eller när en osäker anslutning uppgraderas för att säkra med STARTTLS, kommer båda sidor av anslutningen överens om en viss version beroende på vad som stöds. Det kan innebära att om servern stöder den senaste TLS v1.3, men e-postklienten som ansluter till servern stöder bara TLS v1.,1, båda sidor kan använda TLS v1.1.

medan nästan alla onlinetjänster stöder SSL/TLS idag, stöder inte alla tjänster de nyaste TLS v1.3. SSL har blivit officiellt föråldrat (från och med maj 2018) och används inte längre av moderna onlinetjänster. Nuvarande programvara stöder TLS v1.0, TLS v1.1 och TLS v1.2, och många webbplatser och tjänster rekommenderar nu starkt åtminstone TLS v1.2 för sin övergripande förbättrade säkerhetsprofil.,

TLS vs STARTTLS namngivning problem

en orsak till förvirring kring namnen på dessa olika tekniker är att vissa e-postprogram felaktigt använder termen TLS när de borde ha använt STARTTLS.

äldre versioner av Thunderbird använde i synnerhet ”TLS” för att betyda att STARTTLS ska användas för att uppgradera anslutningen, och anslutningen ska misslyckas om STARTTLS inte stöds.

dessa versioner använde också termen ”TLS, om tillgänglig”., ”TLS, om tillgängligt” innebar att programmet skulle försöka använda STARTTLS för att uppgradera anslutningen om servern stödde detta, men annars använda en osäker anslutning.

A history of email authentication

för att förstå SSL/TLS och STARTTLS är det nödvändigt att förstå historiken bakom dessa standarder och hur branschen har utvecklats för att hantera befintliga användar-och klientbeteenden och nya hot. SSL/TLS och STARTTLS inte hade uppfunnits ännu när IMAP, POP och SMTP var redan väl etablerade., Att lägga till korrekt kryptering till dessa utan att bryta befintligt beteende var en stor utmaning.

SSL/TLS vs plaintext/STARTTLS portnummer

beroende på vilken typ av anslutning och vilken kryptering som stöds kan olika portnummer behövas.

eftersom e-postteknik som IMAP, POP och SMTP redan fanns när SSL/TLS uppfanns, förväntades anslutningar med oformaterad text över standardportarna i 143, 110 och 25., Medan många tjänster som stöds med STARTTLS för att uppgradera anslutningen på dessa portar, om en klient inte stöder detta, fanns det risk för känslig information som lösenord som överförs i vanlig text. Detta sätter lösenord med stor risk att bli stulen om en angripare tittade på anslutningen.

för att lägga till säkerhet beslutades tre nya hamnar. Dessa portar förväntade SSL / TLS-anslutningar omedelbart, så de vägrade att försöka överföra information i vanlig text., Detta skyddade känslig information som lösenord och e – postadresser-antingen informationen skulle överföras säkert, eller det skulle inte överföras alls. Detta kallas ”implicit TLS”, vilket innebär att det förväntas att båda sidor av en anslutning kommer att stödja krypterade anslutningar.,icit TLS

IMAP Port 143 Port 993 POP Port 110 Port 995 SMTP Port 25 Port 465

The problem with multiple port numbers

Some time after these new ports to support implicit TLS were agreed upon, it was decided that having two ports for every protocol was wasteful., För att bara stödja en enda port skapades STARTTLS som ett sätt för en klient att ansluta över vanlig text och uppgradera sedan anslutningen till en säker som använde SSL/TLS.

detta var inte heller en perfekt lösning. Det fanns redan riktiga användare som använde de nya portnumren med sina e-postklienter. E-postklienter kan vara mycket långlivade, så inaktivera de nya portarna var inte ett användarvänligt alternativ.

det fanns också säkerhetsproblem med att använda den enda porten och uppgradera anslutningen., Även om mekanismer tillsattes till varje protokoll för att berätta för kunderna att anslutningen stödde uppgradering till en säker anslutning och de borde inte försöka logga in förrän uppgraderingen var klar, ignorerade vissa klientprogram detta och skickade lösenord och användarnamn över vanlig text ändå. Även om servern avvisade anslutningen hade inloggningsuppgifterna redan skickats okrypterade ändå, vilket lämnade dem sårbara.

annan programvara ignorerade serverinstruktionen för att uppgradera anslutningen och skickade bara användaren ett inloggningsfel i gengäld., Detta orsakade mycket förvirring om vad som var fel.

eftersom båda dessa problem orsakade betydande problem för befintliga kunder fortsatte de flesta tjänster att använda vanliga textanslutningar på ett portnummer och erbjuda säkra, implicita SSL/TLS-anslutningar på ett andra portnummer.

idag inaktiverar många e-posttjänster, inklusive Fastmail, nu vanlig text IMAP och POP-inloggningar helt på portar143 och110, lämnar krypterade anslutningar på portar993 och995 som det enda alternativet., Detta säkerställer att alla klienter använder krypterade SSL / TLS-anslutningar för att skydda känsliga data.

SMTP STARTTLS som ett undantag

det finns ett undantag från denna debatt kring att använda SSL/TLS och använda STARTTLS: SMTP.

SMTP var ursprungligen avsedd för meddelandeöverföring. Meddelandeöverföring via SMTP sker mellan olika servrar som inte är utformade för direkt klientinteraktion. Av denna anledning var det inte nödvändigt i den tidiga designen att redogöra för problemen med e-postklienter som att överföra användarlösenordsinformation i cleartext.,

det var först senare som SMTP började användas för meddelandeinlämning samt meddelandeöverföring. I början av e-postklienter som inrättats för att skicka med SMTP, dessa används port 25, samma port som användes inuti e-postsystem själva för överföring. I större e-postöverföringssystem var det möjligt att låsa porten 25 så att den endast kunde användas av betrodda IP-adresser., Naturligtvis var det inte möjligt att göra detta för de tusentals hem IP-adresser som använder SMTP på sina e-postklienter för e-post inlämning ,och så port587 definierades för meddelande inlämning.

använda port587 I stället för25 för meddelande inlämning blev populär på ungefär samma gång som vikten av att använda kryptering för att skydda känsliga data blev välkända och krypteringstillägg definierades för SMTP., Port 587, definierad speciellt för meddelande inlämning, stöds uppgradering till en säker anslutning med STARTTLS.

Port465 definierades också för SMTP-inlämning, och till skillnad från port587,465 stöds specifikt implicita TLS precis som port993 för IMAP och995 för POP., Vid denna tidpunkt hade industrin dock gått vidare till förväntningen att alla anslutningar för IMAP, POP och SMTP skulle uppgraderas säkert med STARTTLS istället för de föredragna implicita TLS idag. Av denna anledning, kort efter port 465 definierades, återkallades den. Alla klienter förväntades flytta över för att använda STARTTLS på port 587.

e-postklientprogramvara kan vara mycket långlivad, och det kan vara svårt för de flesta användare att göra ändringar i portar och serverinställningar själva., Många e-postklienter utformades också i denna tid för att bara arbeta med implicita SSL / TLS på port 465. Detta gjorde det mycket svårt att ta bort port 465 som ett alternativ för kunder, även om det officiellt återkallades.

tjänster som stöder SMTP för meddelandeinlämning kräver nu att klienter som ansluter till standardporten587 uppgraderar anslutningen med STARTTLS och loggar in med användarnamn och lösenord.,

under 2018 ändrades den officiella rekommendationen igen till att använda implicita TLS över port 465. På grund av den långvariga karaktären hos e-postklientprogramvaran förväntas det vara mycket lång tid före porten 587 kan avbrytas.

eftersom tjänster nu har flyttat användare bort från att använda port25 för e-postinlämning har de nu kunnat blockera denna port för användare och använda den internt endast för sitt ursprungliga avsedda syfte med e-postöverföring., Port 25 hade varit en betydande källa till spam på grund av att användarnas datorer är infekterade med spam skicka virus, så detta har kraftigt minskat mängden spam som skickas via tjänster som har blockerat denna port.

för närvarande finns det en jämn spridning av användare som använder implicita SSL / TLS med port 465 och användare som uppgraderar sin anslutning med STARTTLS med port 587. Fastmail kommer att fortsätta att erbjuda båda alternativen under överskådlig framtid.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *