s počtem zkratek obklopujících šifrování e-mailů není těžké se ztratit. Téměř žádný e-mail není odeslán bez SSL nebo TLS. STARTTLS je často spojován s nimi a STLS se objeví tu a tam. A co ECC a RSA? Necháme je na příště. Připojte se k nám tentokrát, když diskutujeme o roli SSL/TLS a STARTTLS v šifrování e-mailů.
SSL a TLS-o čem to všechno je?
jak si můžete přečíst v našem článku o zabezpečení SMTP, tento protokol není ve výchozím nastavení zabezpečen., Jako takový je pro internetové darebáky docela snadné zachytit e-maily a využít důvěrných informací. Naštěstí existují šifrovací metody, které ztěžují jejich život.
SSL (Secure Socket Layer) a jeho nástupce TLS (Transport Layer Security) jsou dva kryptografické protokoly používané v e-mailu přenosu. Oba se spoléhají na sadu soukromých a veřejných klíčů, aby se zprávy změnily na zbytečné řetězce znaků. Pokud je v jakékoli fázi takový e-mail zachycen, nebude to užitečné pro toho, kdo ohrozil vaši bezpečnost.,
SSL byl původně vyvinut společností Netscape v roce 1995 a byl rychle implementován v populárních e-mailových klientech v té době (včetně vlastního klienta). O čtyři roky později byl představen nový standard-TLS-nabízející spolehlivější bezpečnostní profil.
SSL byl od té doby zastaralý, ale je stále široce používán spolu s mladším sourozencem. Ve skutečnosti se obě jména používají zaměnitelně a při odkazování na TLS často najdete odkaz na SSL. Termín „SSL / TLS“ se také běžně používá.
jaká je role STARTTLS?,
STARTTLS není protokol, ale příkaz e-mailového protokolu. Používá se k tomu, aby e-mailovému serveru řekl, že e-mailový klient(například Gmail, Outlook atd.) chce upgradovat stávající nezabezpečené připojení na zabezpečené připojení pomocí SSL nebo TLS.
všimněte si, že název „STARTTLS“ nenaznačuje, že lze navázat pouze spojení TLS. SSL lze také použít s tímto příkazem.
STARTTLS, s výjimkou SMTP, se také používá s protokolem IMAP, který se tradičně používá pro načítání e-mailů z e-mailového serveru. POP3, další protokol pro příjem e-mailů, používá podobný příkaz nazvaný STLS.,
jak fungují TLS/SSL a STARTTLS?
abychom pochopili roli šifrování v e-mailových přenosech, musíme stručně vysvětlit, o čem je „handshake“. Stejným způsobem, že lidé v mnoha kulturách mají tendenci si navzájem potřást rukama na začátku konverzace, E-mailoví klienti a servery také sledují podobný rituál.
když je e-mail odeslán, klient se obrátí na server, aby ověřil jeho spolehlivost. Sdílí, s jakými verzemi SSL/TLS je kompatibilní, a také šifrovací metodu, kterou od ní lze očekávat., Server reaguje svým digitálním certifikátem, aby potvrdil svou totožnost. Když se odhlásí, obě strany generují a vyměňují jedinečný klíč, který bude nyní použit k dešifrování zpráv.
aby došlo k „handshake“, musí být nejprve navázáno spojení mezi klientem a serverem. Ve výchozím nastavení není připojení SMTP zabezpečeno a jako takové zranitelné vůči útokům. Proto se obě strany pokusí navázat bezpečné spojení., Existují dva přístupy:
- s Oportunní SSL/TLS (aka Explicitní SSL/TLS), klient bude probíhat STARTTLS příkaz k upgradu připojení k šifrované. Pokud je server kompatibilní a nedojde k žádným chybám, bude navázáno zabezpečené připojení TLS nebo SSL. Pokud v procesu něco selže, bude vytvořen přenos prostého textu.
- s Nuceným SSL/TLS (aka Implicitní SSL/TLS), klient se pokusí navázat zabezpečené připojení, aniž žádá server o její slučitelnosti. Pokud se to podaří, bude zřízeno zabezpečené připojení a bude následovat handshake., Pokud server není kompatibilní nebo doby připojení, přenos bude opuštěna.
oba se v těchto dnech běžně používají a pro tyto přenosy používají vyhrazené porty.
které porty se používají pro implicitní a explicitní SSL / TLS?
po mnoho let byl port 25 ve výchozím nastavení používán jak pro odesílání e-mailů MTAs (e-mailové servery), tak pro jejich předávání mezi MTAs. Postupem času to vedlo k obrovskému množství spamu, který byl odeslán prostřednictvím tohoto portu (a stále je).od té doby byly oznámeny nové porty
a 25 bylo omezeno hlavně na účely relé SMTP., Port 587 se ukázal jako nejoblíbenější volba pro podání SMTP.
přestože tento port nevyžaduje použití STARTTLS, platformy, které jej využívají, většinou ano. Kromě toho také vyžadují uživatelské jméno a heslo pro autentizaci, což ještě ztěžuje falšování skutečných účtů. Pokud chcete použít explicitní SSL / TLS, port 587 by měl být vaší volbou. Jako alternativa se také běžně používá port 2525.
po krátkou dobu byl port 465 doporučeným portem pro odeslání e-mailu., Toto rozhodnutí bylo rychle zrušeno ve prospěch portu 587, ale mnoho klientů a serverů jej již implementovalo. Jako takový, to se stalo běžnou alternativou k 587 pro ty, kteří jsou ochotni používat implicitní SSL / TLS (nutit šifrované připojení, spíše než se snaží aktualizovat s STARTTLS).
v těchto dnech, mnoho e-mailových klientů, Gmail a Yahoo! zahrnuto je použití portu 465 (pro implicitní SSL/TLS) a 587 (pro explicitní SSL/TLS), zatímco jiné se omezují pouze na 587.
věci se však mají změnit, protože jsou učiněny další pokusy o vynucení používání TLS u klientů i serverů., V 2018, Internet Engineering Task Force (IETF) doporučuje, aby použití implicitní TLS přes port 465 je způsob, jak jít. Čas ukáže, zda se STARTTLS jednoho dne stanou nadbytečnými, nebo zda budou oba přístupy použity ruku v ruce pro nadcházející roky.
Přečtěte si více o portech SMTP v našem dalším článku.
IMAP a POP (hlavně POP3) také používají různé porty pro implicitní a explicitní SSL/TLS. IMAP načítá e-maily přes port 143, když je STARTTLS na svém místě a přes port 993 při použití implicitního SSL / TLS. POP používá porty 110 a 995.,
Historie verzí SSL / TLS
jak jsme již zmínili, SSL byl již několik let zastaralý a TLS je považován za nejspolehlivější vývoj v šifrování e-mailů. Navzdory tomu některé platformy stále používají SSL, navzdory zranitelnostem.
jak byste měli vědět, SSL a TLS se používají zaměnitelně. Jako takový není neobvyklé vidět klienta nebo server, který svým uživatelům nabízí nejnovější šifrování SSL. Ale není třeba zoufat. Je to pravděpodobně TLS, která pohání jejich přenosy. Rychlý výzkum však neublíží.,
Here’s a summary of all the SSL/TLS versions published to date:
Protocol | Year published | Current status |
SSL 1.0 | Never published | Never published |
SSL 2.0 | 1995 | Deprecated since 2011 |
SSL 3.0 | 1996 | Deprecated since 2015 |
TLS 1.0 | 1999 | To be deprecated in 2020 |
TLS 1.,1 | 2006 | být zastaralé v roce 2020 |
TLS 1.2 | 2008 | Aktivně podporován |
TLS 1.3 | 2018 | Aktivně podporován |
SSL 1.0 nebyla nikdy publikována jako vážné bezpečnostní chyby byly objeveny dříve, než byl vyhlášen. Výsledkem bylo, že SSL 2.0 byl první protokol, který byl široce dostupný.
s vydáním TLS 1.3 v roce 2018 mají být první dvě verze TLS zastaralé., Pokud se chystáte vybrat poskytovatele a porovnáváte různé nabídky, ujistěte se, že vaše běží na TLS 1.2 nebo novější.
uvědomte si, že i při staré technologii jako SMTP se věci mohou velmi rychle změnit. Může být zavedena nová verze TLS nebo dokonce úplně jiný protokol. Některé porty by se mohly stát nadbytečnými, zatímco jiné se stanou slávou. Když k tomu dojde, budeme určitě aktualizovat článek, ale snažte se vždy hledat nejnovější zprávy a trendy v oboru.,
sledujte náš blog a dozvíte se hodně o odesílání e-mailů, protokolech a přístupech. Také zkuste Mailtrap zdarma a nikdy spam své klienty náhodou znovu. Opatruj se!
Pokud se vám tento článek líbil, sdílejte a šířte slovo. Budeme to opravdu ocenit.
Napsat komentář