Tam je často docela zmatek ohledně různých pojmů: SSL, TLS, STARTTLS a STIS.
SSL a TLS
SSL a TLS jsou kryptografické protokoly, oba poskytují způsob šifrování komunikačního kanálu mezi dvěma počítači přes Internet (např. klientský počítač a server). SSL je zkratka pro Secure Sockets Layer a aktuální verze je 3.0. TLS je zkratka pro Transport Layer Security a aktuální verze je 1.2. TLS je nástupcem SSL., Pojmy SSL a TLS mohou být použity zaměnitelně, pokud nemáte na mysli konkrétní verzi protokolu.
číslování verzí je nekonzistentní mezi SSL a TLSs. Když TLS převzal SSL jako preferovaný název protokolu, začalo to novým číslem verze. Řazení protokolů z hlediska nejstarších na nejnovější je: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.
STARTTLS a STLS
STARTTLS je příkaz protokolu, který vydává e-mailový klient. To znamená, že klient chce upgradovat stávající, nezabezpečené připojení k zabezpečenému připojení pomocí SSL / TLS kryptografický protokol., Název příkazu STARTTLS je používán protokoly SMTP a IMAP, zatímco protokol POP3 používá jako název příkazu STLS.
Clear text / prostý text
žádný bezpečnostní protokol se nepoužívá vůbec. Všechny příkazy, odpovědi a data jsou přenášeny prostým textem.
client.Connect("mail.example.com");
Implict SSL mode
Implict SSL mode znamená, že se připojíte k SSL / TLS šifrovaný port.,
client.ConnectSSL("mail.example.com");
Explicitní SSL režimu
Explicitní SSL režim znamená, že můžete připojit k nářek text, port a zabezpečení spojení vydáním STARTTLS (nebo STIS) příkaz následně (explicitně zabezpečené připojení).
client.Connect("mail.example.com");client.StartTLS();
Zabezpečení spojení
bez Ohledu na to, zda používáte předpokládané (připojení k SSL/TLS šifrovaný port) nebo explicitní (pomocí STARTTLS na upgrade existujícího připojení) režim, budou obě strany vyjednávat, který protokol a kterou verzi používat., Toto vyjednávání je založeno na tom, jak byly nakonfigurovány klient a server a co každá strana podporuje.
podpora SSL/TLS
podpora SSL / TLS je prakticky univerzální, avšak které verze jsou podporovány, je variabilní. Skoro všechno podporuje SSLv3. Většina strojů podporuje TLSv1. 0.
TLS vs STARTTLS pojmenování problému
Jedním významným komplikujícím faktorem je skutečnost, že některé e-mailové software nesprávně používá termín TLS, když se měl použít „STARTTLS“ nebo „explicitní SSL/TLS“., Starší verze Thunderbird používá „TLS“ znamená „vynutit použití STARTTLS upgrade připojení, a selhat, pokud STARTTLS není podporován“ a „TLS, pokud je k dispozici“ znamená „použít STARTTLS upgrade připojení, pokud server inzeruje podporu pro to, jinak jen použít nezabezpečené připojení“ (velmi problematické, jak uvidíme níže).
čísla portů
Chcete-li přidat zabezpečení k některým existujícím protokolům (IMAP, POP3, SMTP), bylo rozhodnuto pouze přidat šifrování SSL/TLS jako vrstvu pod existujícím protokolem., Nicméně rozlišit, že software by měl mluvit SSL/TLS šifrované verzi protokolu, spíše než prostý text, jiný port čísla byla použita pro každý protokol:
Protokol | Prostý text | SSL |
---|---|---|
IMAP | 143 | 993 |
POP3 | 110 | 995 |
SMTP | 587 nebo 25 | 465 |
Příliš mnoho přístavů?, Řešení: Prostý text + STARTTLS
Na nějakém místě, bylo rozhodnuto, že s 2 porty pro každý protokol byl nehospodárné, a místo toho je lepší mít 1 port, který začíná jako prostý text, ale mohou klienti upgrade připojení na SSL/TLS šifrované pomocí STARTTLS (nebo STIS pro POP3 protokol) příkazu.
problémy STARTTLS
s tím bylo několik problémů. Existuje spousta softwaru, který používal alternativní čísla portů s čistým připojením SSL / TLS., Klientský software může mít velmi dlouhou životnost, takže nemůžete šifrované porty zakázat, dokud nebude upgradován veškerý software.
Každý protokol obdržel mechanismy říct klientům, že server podporován upgrade na SSL/TLS (např. STARTTLS v IMAP je SCHOPNOST reakce), a že oni by se neměli pokoušet přihlásit bez STARTTLS upgrade (LOGINDISABLED v IMAP je SCHOPNOST reakce)., Tím vznikly dvě nešťastné situace:
- Některé softwarové prostě ignoroval „přihlášení zakázáno, dokud upgrade“ oznámení (LOGINDISABLED, STARTTLS) a jen se snažil přihlásit stejně, odesílání přihlašovací jméno uživatele a heslo přes jasné znění kanálu. Server odmítl přihlašovací jméno a heslo, ale podrobnosti již byly zaslány přes Internet prostým textem.
- Ostatní software viděl „přihlášení zakázáno, dokud upgrade“ oznámení, ale pak by upgrade připojení automaticky, a tak oznámil, přihlašovací chyby zpět k uživateli, který způsobil zmatek o tom, co bylo špatně.,
Oba tyto problémy měly za následek značné problémy s kompatibilitou se stávajícími klienty, a tak většina správci systému nadále stačí použít prostý text připojení na jeden port, a šifrované spojení na samostatné číslo portu.
Zakázat prostý text pro IMAP a POP3
Mnoho společností (např. Gmail, Outlook.com) zakázán nešifrovaný IMAP (port 143) a prostý POP3 (port 110), takže lidé musí použít SSL/TLS šifrované spojení – to odstraňuje potřebu mít STARTTLS zcela.
SMTP STARTTLS zůstává
jedinou skutečnou výjimkou z výše uvedeného je SMTP., Většina e-mailového softwaru používala SMTP na portu 25 k odesílání zpráv na e-mailový server pro další přenos do cíle. SMTP byl však původně určen pro přenos, nikoli pro podání. Takže další port (587) byl definován pro odeslání zprávy.
Port 587 nemá mandát vyžadující STARTTLS, nicméně použít port 587 se stal populární kolem stejného času jako poznání, že SSL/TLS šifrování komunikace mezi klienty a servery byla důležitá otázka., Výsledkem je, že většina systémů, které nabízejí odesílání zpráv přes port 587 vyžadují, aby klienti používali STARTLS pro upgrade připojení. Přihlašovací jméno a heslo pro ověření je také nutné.
tento přístup má také další přínos. Přechodem uživatelů od používání port 25 pro e-podání, Isp může zablokovat odchozí port 25 připojení z počítačů uživatelů, které byly významným zdrojem spamu, vzhledem k uživateli počítačů infikovaných s odesíláním spamu viry.,
Další čtení
Pomocí SSL/TLS s IMAP
Pomocí SSL/TLS u SMTP
Pomocí SSL/TLS s POP3
Kategorie: IMAP, POP3, SMTP, SSL, TLS