Der er ofte forvirring omkring de forskellige udtryk: SSL, TLS, STARTTLS og STLS.
SSL og TLS
SSL og TLS er kryptografiske protokoller, begge giver en måde at kryptere kommunikationskanal mellem to maskiner over Internettet (f.eks. klientcomputer og en server). SSL står for Secure Sockets Layer og nuværende version er 3.0. TLS står for Transport Layer Security og den aktuelle version er 1.2. TLS er efterfølgeren til SSL., Udtrykkene SSL og TLS kan bruges om hverandre, medmindre du henviser til en bestemt protokolversion.
versionsnummerering er inkonsekvent mellem SSL og TLSs. Da TLS overtog SSL som det foretrukne protokolnavn, begyndte det med et nyt versionsnummer. Bestilling af protokoller med hensyn til ældste til nyeste er: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.
STARTTLS og STLS
STARTTLS er en protokol kommando, der er udstedt af en e-mail-klient. Det indikerer, at klienten ønsker at opgradere eksisterende, usikker forbindelse til en sikker forbindelse ved hjælp af SSL / TLS kryptografisk protokol., STARTTLS kommandonavn bruges af SMTP-og IMAP-protokoller, mens POP3-protokollen bruger STLS som kommandonavn.
klar tekst/almindelig tekst
ingen sikkerhedsprotokol bruges overhovedet. Alle kommandoer, svar og data overføres i almindelig tekst.
client.Connect("mail.example.com");
Implict SSL-tilstand
Implict SSL-tilstand betyder, at du opretter forbindelse til SSL / TLS-krypteret port.,
client.ConnectSSL("mail.example.com");
Eksplicitte SSL-tilstand
Eksplicitte SSL-tilstand betyder, at du opretter forbindelse til plaint tekst port og sikre forbindelsen ved at udstede STARTTLS (eller STLS) kommando bagefter (du udtrykkeligt sikre forbindelsen).
client.Connect("mail.example.com");client.StartTLS();
Sikring tilslutning
Uanset om du bruger implict (tilslutning til en SSL/TLS-krypteret port) eller eksplicit (ved hjælp af STARTTLS til at opgradere en eksisterende forbindelse) mode, og begge parter vil forhandle om, hvilken protokol, og som version til brug., Denne forhandling er baseret på, hvordan klient og server er konfigureret, og hvad hver side understøtter.
SSL/TLS support
Støtte til SSL/TLS er næsten universel, men hvilke versioner der understøttes er variabel. Stort set alt understøtter SSLv3. De fleste maskiner understøtter TLSv1.0.
TLS vs STARTTLS navngivning problem
En betydeligt komplicerende faktor er, at nogle e-mail-software forkert bruger udtrykket TLS, når de skulle have brugt “STARTTLS” eller “eksplicit SSL/TLS”., Ældre versioner af Thunderbird brugt “TLS” til at betyde “gennemtving brug af STARTTLS at opgradere forbindelsen, og mislykkes, hvis STARTTLS er ikke understøttet” og “TLS, hvis de er tilgængelige” til at betyde “brug STARTTLS at opgradere forbindelsen, hvis den server, der reklamerer støtte til det, ellers bare bruge en usikker forbindelse” (meget problematisk, som vi vil se nedenfor).
portnumre
for at tilføje sikkerhed til nogle eksisterende protokoller (IMAP, POP3, SMTP) blev det besluttet at blot tilføje SSL / TLS-kryptering som et lag under den eksisterende protokol., Men at skelne, at software bør tale SSL/TLS-krypterede version af protokollen snarere end alm ene, en anden port nummer blev brugt for hver protokol:
Protokol | Almindelig tekst | SSL |
---|---|---|
IMAP | 143 | 993 |
POP3 | 110 | 995 |
SMTP | 587 eller 25 | 465 |
alt For mange porte?, Løsning: Almindelig tekst + STARTTLS
På et tidspunkt, blev det besluttet, at der 2 porte for hver protokol var uøkonomisk, og i stedet er det bedre at have 1 port, der starter som almindelig tekst, men kunder kan opgradere forbindelsen til et SSL/TLS-krypteret ved hjælp af STARTTLS (eller STLS for POP3-protokollen) – kommando.
STARTTLS problemer
Der var et par problemer med dette. Der findes masser af Soft .are, der brugte de alternative portnumre med rene SSL/TLS-forbindelser., Klientsoft .are kan være meget lang levetid, så du kan ikke bare deaktivere de krypterede porte, før Al soft .are er blevet opgraderet.
hver protokol modtog mekanismer til at fortælle klienter, at serveren understøttede opgradering til SSL / TLS (f.eks. STARTTLS i IMAP ‘s KAPACITETSRESPONS), og at de ikke skulle forsøge at logge ind uden at udføre STARTTLS-opgraderingen (LOGINDISABLED i IMAP’ s KAPACITETSRESPONS)., Dette skabte to uheldige situationer:
- Nogle software bare ignoreret “login deaktiveret indtil opgraderet” bekendtgørelse (LOGINDISABLED, STARTTLS -) og bare prøvede at logge ind alligevel, at sende login-navn og adgangskode igen klar tekst kanal. Serveren afviste login og adgangskode, men detaljerne var allerede blevet sendt over Internettet i almindelig tekst.
- anden soft .are så meddelelsen “login deaktiveret indtil opgraderet”, men ville derefter ikke opgradere forbindelsen automatisk og rapporterede således loginfejl tilbage til brugeren, hvilket forårsagede forvirring om, hvad der var galt.,
begge disse problemer resulterede i betydelige kompatibilitetsproblemer med eksisterende klienter, og derfor fortsatte de fleste systemadministratorer med bare at bruge almindelige tekstforbindelser på en port og krypterede forbindelser på et separat portnummer.
Deaktiver almindelig tekst for IMAP-og POP3 –
Mange virksomheder (fx Gmail, Outlook.com) deaktiveret almindelig IMAP (port 143) og almindelig POP3 (port 110), så folk skal bruge en SSL/TLS krypteret forbindelse – dette fjerner behovet for at have STARTTLS-kommando helt.
SMTP STARTTLS forbliver
den eneste reelle undtagelse til ovenstående er SMTP., De fleste e-mail-soft .are brugte SMTP på port 25 til at indsende meddelelser til e-mail-serveren til videre transmission til destinationen. Men SMTP blev oprindeligt designet til overførsel, ikke indsendelse. Så endnu en port (587) blev defineret til indsendelse af meddelelser.
Port 587 ikke mandat kræver STARTTLS, men bruge port 587 blev populær omkring samme tid som den erkendelse, at SSL/TLS-kryptering af kommunikation mellem klienter og servere var et vigtigt spørgsmål., Resultatet er, at de fleste systemer, der tilbyder besked indsendelse over port 587 kræver klienter til at bruge STARTLS at opgradere forbindelsen. Login og adgangskode for at godkende er også påkrævet.
Der har også været en yderligere fordel ved denne tilgang. Ved at flytte brugere væk fra at bruge port 25 til e-mail indsendelse, Internetudbydere kan blokere udgående port 25 forbindelser fra brugernes computere, som var en væsentlig kilde til spam, på grund af brugernes computere inficeret med spam at sende virus.,
Yderligere behandlinger
ved Hjælp af SSL/TLS med IMAP
ved Hjælp af SSL/TLS med SMTP
ved Hjælp af SSL/TLS med POP3
– Tags: IMAP, POP3, SMTP, SSL, TLS