Siellä on usein melko epäselvyyttä eri termejä: SSL, TLS, STARTTLS, ja STLS.

SSL-ja TLS

SSL-ja TLS ovat cryptographic protocols, sekä tarjota tapa salata viestinnän kanavan välillä kaksi koneet Internetissä (esim. työasema ja palvelin). SSL tarkoittaa Secure Sockets Layer ja nykyinen versio on 3.0. TLS tarkoittaa kuljetuskerroksen turvallisuutta ja nykyinen versio on 1.2. TLS on SSL: n seuraaja., Termejä SSL ja TLS voidaan käyttää vaihdellen, ellet viittaa tiettyyn protokollaversioon.

versionumerointi on epäjohdonmukaista SSL: n ja TLSs: n välillä. Kun TLS otti SSL: n ensisijaiseksi protokollanimeksi, se alkoi uudella versionumerolla. Tilaaminen pöytäkirjat kannalta vanhimmasta uusimpaan on: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.

STARTTLS ja STLS

STARTTLS on protokolla, komento, joka on antanut sähköpostiohjelma. Se osoittaa, että asiakas haluaa päivittää olemassa olevia, epävarma yhteys suojattu yhteys SSL/TLS-salauksen protokollan., STARTTLS-komentonimeä käyttävät SMTP-ja IMAP-protokollat, kun taas POP3-protokolla käyttää komentonimenä STLS: ää.

vaikka nimessä on TLS, STARTLS ei tarkoita, että TLS: ää käytettäisiin. Sekä SSL että TLS ovat hyväksyttäviä protokollia viestinnän turvaamiseksi.

selkeää tekstiä/pelkkää tekstiä

turvaprotokollaa ei käytetä lainkaan. Kaikki komennot, vastaukset ja tiedot siirretään tekstimuodossa.

client.Connect("mail.example.com");

implisiittinen SSL-tila

implisiittinen SSL-tila tarkoittaa, että liityt SSL / TLS-salattuun porttiin.,

client.ConnectSSL("mail.example.com");

Avointa SSL-tilassa

Nimenomaista SSL-tilassa tarkoittaa, että voit muodostaa yhteyden plaint teksti portti ja suojattu yhteys antamalla STARTTLS (tai STLS) – komennon jälkeen (erikseen suojattu yhteys).

client.Connect("mail.example.com");client.StartTLS();

yhteyden Turvaaminen

Riippumatta siitä, onko sinulla käyttää implict (yhteyden muodostaminen SSL/TLS-salattu portti) tai implisiittisiä (käyttäen STARTTLS päivittää olemassa olevan yhteyden) – tilassa, molemmat osapuolet neuvottelevat, mitä protokollaa ja mitä versiota käytetään., Tämä neuvottelu perustuu siihen, miten asiakas ja palvelin on määritetty ja mitä kumpikin puoli tukee.

SSL/TLS-tuki

SSL / TLS-tuki on käytännössä universaali, mutta tuetut versiot ovat vaihtelevia. Lähes kaikki tukee SSLv3: a. Useimmat koneet tukevat TLSv1.0.

TLS vs STARTTLS nimeäminen ongelma

Yksi merkittävä monimutkaistava tekijä on se, että jotkut sähköpostiohjelmat väärin käyttää termiä TLS, kun ne olisi pitänyt käyttää ”STARTTLS” tai ”avointa SSL/TLS”., Vanhemmat versiot Thunderbird käyttää ”TLS” tarkoittaa ”valvoa käyttöä STARTTLS päivittää yhteys, ja epäonnistua, jos STARTTLS ei tueta” ja ”TLS, jos saatavilla” tarkoittaa ”käyttää STARTTLS päivittää yhteyttä, jos palvelin mainostaa, tukea, muuten vain käyttää epävarma yhteys” (hyvin ongelmallinen, kuten näemme alla).

porttien numerot

lisää turvallisuuden joitakin olemassa olevia protokollia (IMAP, POP3, SMTP), päätettiin vain lisätä SSL/TLS-salaus kerros alla olevia pöytäkirjan., On kuitenkin erottaa, että ohjelmiston pitäisi puhua SSL/TLS-salattu versio protokollan sijaan selkokielisen yksi, eri portin numero käytettiin kunkin pöytäkirjan:

Pöytäkirja teksti SSL
IMAP – 143 993
POP3 – 110 995
SMTP 587 tai 25 465

Liikaa portit?, Ratkaisu: teksti + STARTTLS

jossain vaiheessa, se oli päättänyt, että ottaa 2-porttia, joka pöytäkirjassa oli turhaa, ja sen sijaan se on parempi olla 1-porttiin, se alkaa kuin tavallinen teksti, mutta asiakas voi päivittää yhteyden SSL/TLS-salattu käyttäen STARTTLS (tai STLS POP3-protokolla) – komento.

STARTLS problems

tässä oli muutamia ongelmia. On olemassa paljon ohjelmistoja, jotka käyttivät vaihtoehtoisia porttinumeroita puhtailla SSL / TLS-yhteyksillä., Asiakasohjelmisto voi olla hyvin pitkäikäinen, joten salattuja portteja ei voi vain poistaa käytöstä ennen kuin kaikki ohjelmistot on päivitetty.

Jokainen protokolla sai mekanismeja kertoa asiakkaille, että palvelin tukee päivittämistä SSL/TLS (esim. STARTTLS IMAP on VALMIUDET vastausta), ja että heidän ei pitäisi yrittää kirjautua tekemättä STARTTLS päivitys (LOGINDISABLED IMAP on VALMIUDET vastausta)., Tämä loi kaksi valitettavaa tilanteissa:

  • Jotkut ohjelmisto vain huomiotta ”kirjautuminen pois käytöstä, kunnes päivitetty” ilmoitus (LOGINDISABLED, STARTTLS) ja yritin kirjautua sisään joka tapauksessa, lähettämällä käyttäjänimen ja salasanan yli selkeä teksti kanava. Palvelin hylkäsi käyttäjätunnus ja salasana, mutta tiedot oli jo lähetetty Internetissä tekstimuodossa.
  • Muiden ohjelmistojen näki ”kirjautuminen pois käytöstä, kunnes päivitetty” ilmoitus, mutta sitten ei päivityksen yhteydessä automaattisesti, ja siten todettu, kirjautuminen virheitä takaisin käyttäjälle, joka aiheutti epäselvyyttä siitä, mikä oli vialla.,
    • Molemmat näistä ongelmista aiheutui merkittäviä yhteensopivuusongelmia olemassa olevia asiakkaita, ja niin useimmat järjestelmän ylläpitäjät jatkoi vain käyttää pelkkää tekstiä yhteyksiä yhden portin, ja salattuja yhteyksiä eri portin numero.

      Poista teksti IMAP-ja POP3

      Monet yritykset (esim. Gmail, Outlook.com) vammaisten tavallinen IMAP (portti 143) ja tavallinen POP3 (portti 110), niin ihmiset on käyttää SSL/TLS-salattu yhteys – tämä poistaa tarpeen ottaa STARTTLS täysin.

      SMTP-STARTTLS pysyy

      ainoa todellinen poikkeus edellä on SMTP., Useimmat sähköpostiohjelmat käyttivät SMTP port 25: ssä viestien lähettämiseen sähköpostipalvelimelle jatkolähetystä varten. SMTP suunniteltiin kuitenkin alun perin siirtoa varten, ei alistamista varten. Niinpä jälleen yksi satama (587) määriteltiin sanoman lähettämistä varten.

      – Portti 587, ei toimeksianto edellyttää STARTTLS, kuitenkin käyttö portti 587 tuli suosittu samoihin aikoihin kuin oivalluksesta, että SSL/TLS-salausta viestinnän asiakkaiden ja palvelinten välillä oli tärkeä kysymys., Tuloksena on, että useimmat järjestelmät, jotka tarjoavat viestin toimittamista port 587 vaatia asiakkaita käyttämään STARTLS päivittää yhteyden. Myös kirjautumis-ja salasanatodentaminen on tarpeen.

      myös tästä lähestymistavasta on ollut lisähyötyä. Siirtämällä käyttäjät pois käyttämällä port 25 sähköpostin lähettäminen, internet-Palveluntarjoajat voivat estää lähtevän portin 25 yhteyksiä käyttäjien tietokoneisiin, jotka olivat merkittävä lähde roskapostia, koska käyttäjän tietokoneita tartunnan roskapostia lähettämällä viruksia.,

      Muita lukemia

      SSL/TLS-yhteyden IMAP
      SSL/TLS-yhteyden SMTP
      SSL/TLS-yhteyden POP3

      Tunnisteet: IMAP, POP3, SMTP, SSL, TLS