Con il numero di acronimi che circondano la crittografia delle e-mail, non è difficile perdersi. Quasi nessuna e-mail viene inviata senza SSL o TLS. STARTTLS è spesso associato a loro e STLS appare di tanto in tanto. Che ne dici di ECC e RSA? Li lasceremo per la prossima volta. Unisciti a noi questa volta mentre discutiamo il ruolo di SSL/TLS e STARTTLS nella crittografia delle e-mail.
SSL e TLS-di cosa si tratta?
Come puoi leggere nel nostro articolo sulla sicurezza SMTP, questo protocollo non è protetto per impostazione predefinita., Come tale, è abbastanza facile per i cattivi di Internet per intercettare le email e fare uso di informazioni riservate. Per fortuna, ci sono metodi di crittografia in atto che rendono la loro vita un po ‘ più difficile.
SSL (Secure Socket Layer) e il suo successore TLS (Transport Layer Security) sono due protocolli crittografici utilizzati nella trasmissione di e-mail. Entrambi si basano su un set di chiavi private e pubbliche per trasformare i messaggi in stringhe inutili di caratteri. Se, in qualsiasi momento, tale e-mail viene intercettata, non sarà di alcuna utilità per chiunque abbia compromesso la tua sicurezza.,
SSL è stato originariamente sviluppato da Netscape nel 1995 ed è stato rapidamente implementato nei client di posta elettronica popolari al momento (il proprio client incluso). Quattro anni dopo, un nuovo standard – TLS – è stato introdotto, offrendo un profilo di sicurezza più affidabile.
SSL da allora è stato deprecato, ma è ancora ampiamente utilizzato insieme al suo fratello minore. In effetti, entrambi i nomi sono usati in modo intercambiabile e spesso è possibile trovare un riferimento a SSL quando si fa riferimento a TLS. Il termine ‘SSL / TLS ‘ è anche comunemente usato.
Qual è il ruolo di STARTTLS?,
STARTTLS non è un protocollo, ma un comando di protocollo di posta elettronica. È usato per dire a un server di posta elettronica che un client di posta elettronica (come Gmail, Outlook, ecc.) vuole aggiornare una connessione insicura esistente a una sicura, usando SSL o TLS.
Si noti che il nome ‘STARTTLS ‘ non indica che è possibile stabilire solo una connessione TLS. SSL può essere utilizzato anche con questo comando.
STARTTLS, ad eccezione di SMTP, viene utilizzato anche con il protocollo IMAP, tradizionalmente utilizzato per il recupero di e-mail da un server di posta elettronica. POP3, un altro protocollo per la ricezione di e-mail, utilizza un comando simile chiamato STLS.,
Come funzionano TLS / SSL e STARTTLS?
Per comprendere il ruolo della crittografia nelle trasmissioni di posta elettronica, dobbiamo spiegare brevemente di cosa si tratta la “stretta di mano”. Allo stesso modo in cui gli esseri umani in molte culture tendono a scuotere le mani a vicenda all’inizio di una conversazione, client di posta elettronica e server anche seguire un rituale simile.
Quando viene inviata un’e-mail, un client raggiunge un server per verificarne l’affidabilità. Condivide le versioni SSL / TLS con cui è compatibile e anche il metodo di crittografia che ci si può aspettare da esso., Il server risponde con il suo certificato digitale per confermare la sua identità. Al momento del check-out, le due parti generano e scambiano una chiave univoca che verrà ora utilizzata per decifrare i messaggi.
Affinché si verifichi un ‘handshake’, è necessario innanzitutto stabilire una connessione tra un client e un server. Per impostazione predefinita, una connessione SMTP non è protetta e, come tale, vulnerabile agli attacchi. Ecco perché entrambe le parti cercheranno di stabilire una connessione sicura., Esistono due approcci:
- con SSL/TLS opportunistico (aka SSL / TLS esplicito), un client eseguirà un comando STARTTLS per aggiornare una connessione a una crittografata. Se un server è compatibile e non si verificano errori, verrà stabilita la connessione TLS o SSL protetta. Se qualcosa fallisce nel processo, verrà stabilita una trasmissione di testo normale.
- con SSL/TLS forzato (alias SSL / TLS implicito), un client cercherà di stabilire una connessione sicura senza chiedere a un server la sua compatibilità. Se riesce, verrà impostata una connessione sicura e seguirà una stretta di mano., Se un server non è compatibile o una connessione scade, una trasmissione verrà abbandonata.
Entrambi sono di uso comune in questi giorni e utilizzano porte dedicate per queste trasmissioni.
Quali porte vengono utilizzate per SSL/TLS implicito ed esplicito?
Per molti anni, la porta 25 è stata utilizzata di default sia per inviare e-mail a MTA (server di posta elettronica) che per inoltrarle tra MTA. Nel corso del tempo, ciò ha portato a un’enorme quantità di spam inviato attraverso questa porta (e lo è ancora).
Da allora sono state annunciate nuove porte e 25 è stato limitato principalmente a scopi di inoltro SMTP., La porta 587 è emersa come l’opzione più popolare per l’invio SMTP.
Sebbene questa porta non richieda l’utilizzo di STARTTLS, le piattaforme che la utilizzano lo fanno principalmente. Inoltre, richiedono anche un nome utente e una password per l’autenticazione, rendendo ancora più difficile falsificare gli account reali. Se si desidera utilizzare un SSL/TLS esplicito, la porta 587 dovrebbe essere la scelta. In alternativa, porta 2525 è anche comunemente usato.
Per un breve periodo di tempo, la porta 465 è stata la porta consigliata per l’invio di e-mail., Questa decisione è stata rapidamente revocata, a favore della porta 587, ma molti client e server l’avevano già implementata. Come tale, è diventato un’alternativa comune a 587 per coloro che desiderano utilizzare SSL/TLS implicito (forzando una connessione crittografata piuttosto che provare ad aggiornarla con STARTTLS).
In questi giorni, molti client di posta elettronica, Gmail e Yahoo! incluso, usa sia la porta 465 (per SSL/TLS implicito) che 587 (per SSL/TLS esplicito), mentre altri si limitano solo a 587.
Le cose sono impostate per cambiare, tuttavia, poiché vengono fatti ulteriori tentativi per imporre l’uso di TLS sia nei client che nei server., Nel 2018, l’Internet Engineering Task Force (If) ha raccomandato che l’utilizzo di TLS implicito tramite la porta 465 sia la strada da percorrere. Il tempo dirà se STARTTLS diventerà ridondante un giorno o se entrambi gli approcci saranno usati mano nella mano per gli anni a venire.
Leggi di più sulle porte SMTP nel nostro altro articolo.
IMAP e POP (principalmente POP3) usano anche porte diverse per SSL/TLS impliciti ed espliciti. IMAP recupera le email tramite la porta 143 quando STARTTLS è attivo e tramite la porta 993 quando si utilizza SSL / TLS implicito. POP utilizza rispettivamente le porte 110 e 995.,
SSL/TLS version history
Come accennato prima, SSL è stato deprecato già da alcuni anni e TLS è considerato lo sviluppo più affidabile nella crittografia delle e-mail. Nonostante ciò, alcune piattaforme utilizzano ancora SSL, nonostante le sue vulnerabilità.
Come dovresti sapere ormai, SSL e TLS sono usati in modo intercambiabile. Come tale, non è raro vedere un client o un server che offre l’ultima crittografia SSL ai suoi utenti. Ma non c’è bisogno di disperare. Probabilmente è TLS che alimenta le loro trasmissioni. La ricerca rapida non farà male però.,
Here’s a summary of all the SSL/TLS versions published to date:
Protocol | Year published | Current status |
SSL 1.0 | Never published | Never published |
SSL 2.0 | 1995 | Deprecated since 2011 |
SSL 3.0 | 1996 | Deprecated since 2015 |
TLS 1.0 | 1999 | To be deprecated in 2020 |
TLS 1.,1 | 2006 | A essere obsoleto nel 2020 |
TLS 1.2 | 2008 | Attivamente supportato |
TLS 1.3 | 2018 | Attivamente supportato |
SSL 1.0 non è mai stato pubblicato come gravi i problemi di sicurezza sono stati scoperti prima è stato ancora annunciato. Di conseguenza, SSL 2.0 è stato il primo protocollo ampiamente disponibile.
Con il rilascio di TLS 1.3 nel 2018, le prime due versioni di TLS dovrebbero essere deprecate., Se stai per scegliere un provider e stai confrontando diverse offerte, assicurati che il tuo funzioni su TLS 1.2 o versione successiva.
Avvolgendo
Tieni presente che, anche con la tecnologia antica come SMTP, le cose possono cambiare abbastanza rapidamente. È possibile introdurre una nuova versione di TLS o anche un protocollo completamente diverso. Alcune porte potrebbero diventare ridondanti, mentre altri saliranno a fama. Quando ciò accade, saremo sicuri di aggiornare l’articolo, ma cercare di essere sempre alla ricerca delle ultime notizie e tendenze del settore.,
Segui il nostro blog e imparerai molto sull’invio di e-mail, sui protocolli e sugli approcci. Inoltre, provare Mailtrap gratis e mai spam i vostri clienti per caso di nuovo. Stammi bene!
Se ti è piaciuto questo articolo, si prega di condividere e diffondere la parola. Lo apprezzeremo davvero.
Lascia un commento