gyakran elég zavart a különböző kifejezések: SSL, TLS, STARTTLS és STLS.
SSL és TLS
az SSL és a TLS kriptográfiai protokollok, mindkettő lehetőséget nyújt két gép közötti kommunikációs csatorna titkosítására az Interneten keresztül (pl. ügyfélszámítógép és szerver). Az SSL A Secure Sockets réteget jelenti, a jelenlegi verzió pedig a 3.0. A TLS a Transport Layer Security kifejezést jelenti, a jelenlegi verzió pedig az 1.2. A TLS az SSL utódja., Az SSL és TLS kifejezések felcserélhetően használhatók, kivéve, ha egy adott protokollverzióra utal.
a verziószámozás nem egyeztethető össze az SSL és a TLSs között. Amikor a TLS átvette az SSL-t, mint az előnyben részesített protokoll nevét, új verziószámmal kezdődött. A protokollok megrendelése a legrégebbitől a legújabbig: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.
STARTTLS és STLS
STARTTLS egy protokoll parancs, amelyet egy e-mail kliens ad ki. Ez azt jelzi,, hogy az ügyfél szeretné frissíteni a meglévő, bizonytalan kapcsolatot egy biztonságos kapcsolat SSL/TLS kriptográfiai protokoll., A STARTTLS parancs nevét az SMTP és az IMAP protokollok használják, míg a POP3 protokoll az STLS-t használja parancsnévként.
Szöveg törlése/egyszerű szöveg
egyáltalán nem használnak biztonsági protokollt. Minden parancs, válasz és adat egyszerű szövegben kerül továbbításra.
client.Connect("mail.example.com");
Implict SSL mód
Implict SSL mód azt jelenti, hogy SSL/TLS titkosított porthoz csatlakozik.,
client.ConnectSSL("mail.example.com");
Explicit SSL mód
Explicit SSL mód azt jelenti, hogy csatlakozol a plaint szövegporthoz, és biztosítod a kapcsolatot a STARTTLS (vagy STLS) parancs kiadásával (kifejezetten biztosítod a kapcsolatot).
client.Connect("mail.example.com");client.StartTLS();
A kapcsolat biztosítása
függetlenül attól, hogy implict (SSL/TLS titkosított porthoz való csatlakozás) vagy explicit (a STARTTLS használatával egy meglévő kapcsolat frissítéséhez) módot használ, mindkét fél tárgyalni fogja, hogy melyik protokollt és melyik verziót használja., Ez a tárgyalás azon alapul, hogy a kliens és a szerver hogyan lett konfigurálva, és mit támogat mindkét oldal.
SSL / TLS támogatás
Az SSL/TLS támogatása gyakorlatilag univerzális, azonban a támogatott verziók változóak. Nagyjából minden támogatja az SSLv3-at. A legtöbb gép támogatja TLSv1.0.
TLS vs STARTTLS névadási probléma
az egyik jelentős bonyolító tényező az, hogy egyes e-mail szoftverek helytelenül használják a TLS kifejezést, amikor “STARTTLS” vagy “explicit SSL/TLS”kifejezést kellett volna használniuk., A Thunderbird régebbi verziói a ” TLS “kifejezést használták a” STARTTLS használatának érvényesítése a kapcsolat frissítéséhez, és ha a STARTTLS nem támogatott “és a” TLS, ha rendelkezésre áll “kifejezés azt jelenti, hogy” használja a STARTTLS-t a kapcsolat frissítéséhez, ha a szerver támogatja azt, különben csak használjon nem biztonságos kapcsolatot ” (nagyon problematikus, amint az alább látható).
portszámok
a meglévő protokollok (IMAP, POP3, SMTP) biztonságának növeléséhez úgy döntöttek, hogy csak az SSL/TLS titkosítást adják hozzá rétegként a meglévő protokoll alatt., Azonban megkülönböztetni, hogy a szoftver, beszélni kell az SSL/TLS titkosított változata a jegyzőkönyv inkább, mint a titkosítatlan egy másik port számot használták, az egyes jegyzőkönyv:
| Protokoll | Normál szöveg | SSL |
|---|---|---|
| IMAP | 143 | 993 |
| POP3 | 110 | 995 |
| SMTP – | 587 vagy 25 | 465 |
Túl sok port?, Megoldás: egyszerű szöveg + STARTTLS
egy bizonyos ponton úgy döntöttek, hogy minden protokoll 2 portja pazarló, ehelyett jobb, ha 1 portja van, amely egyszerű szövegként indul, de az ügyfelek frissíthetik a kapcsolatot SSL/TLS titkosítással a STARTTLS (vagy STLS for POP3 protocol) paranccsal.
STARTTLS problémák
volt néhány probléma ezzel. Létezik sok szoftver, hogy használt alternatív port számok tiszta SSL / TLS kapcsolatok., Az ügyfélszoftver nagyon hosszú élettartamú lehet, így nem lehet csak letiltani a titkosított portokat, amíg az összes szoftvert nem frissítik.
minden protokoll mechanizmusokat kapott, hogy tájékoztassa az ügyfeleket arról, hogy a szerver támogatja az SSL/TLS-re történő frissítést (pl. STARTTLS az IMAP KÉPESSÉGVÁLASZÁBAN), és hogy ne kísérelje meg a bejelentkezést a STARTTLS frissítés nélkül (LOGINDISABLED az IMAP KÉPESSÉGVÁLASZÁBAN)., Ez két szerencsétlen helyzetet hozott létre:
- néhány szoftver csak figyelmen kívül hagyta a “bejelentkezés letiltva a frissítésig” bejelentést (LOGINDISABLED, STARTTLS), és csak megpróbált bejelentkezni egyébként, elküldve a felhasználó bejelentkezési nevét és jelszavát tiszta szöveges csatornán. A szerver elutasította a bejelentkezést és a jelszót, de a részleteket már elküldték az Interneten egyszerű szövegben.
- más szoftver látta, hogy a “bejelentkezés le van tiltva a frissítésig” bejelentés, de akkor nem frissíti automatikusan a kapcsolatot, így bejelentkezési hibákat jelentett vissza a felhasználónak, ami zavart okozott abban, hogy mi volt a baj.,
mindkét probléma jelentős kompatibilitási problémákat okozott a meglévő ügyfelekkel, így a legtöbb rendszergazda továbbra is csak egyszerű szöveges kapcsolatokat használt egy porton, a titkosított kapcsolatokat pedig egy külön portszámon.
tiltsa le az egyszerű szöveget az IMAP és a POP3 számára
sok vállalat (például Gmail, Outlook.com) letiltott sima IMAP (port 143) és sima POP3 (port 110), így az emberek kell használni az SSL / TLS titkosított kapcsolat-ez kiküszöböli annak szükségességét, hogy a STARTTLS parancs teljesen.
SMTP STARTTLS marad
az egyik igazi kivétel a fenti SMTP., A legtöbb e-mail szoftver SMTP-t használt a 25-ös porton, hogy üzeneteket küldjön az e-mail szervernek a rendeltetési helyre történő továbbításhoz. Az SMTP-t azonban eredetileg átutalásra tervezték, nem benyújtásra. Tehát még egy portot (587) határoztak meg az üzenet benyújtására.
Port 587 nem mandátum igénylő STARTTLS, azonban a használata port 587 lett népszerű, nagyjából egy időben, mint a felismerés, hogy az SSL/TLS titkosítás kommunikációs között költségtérítést, valamint a szerverek volt egy fontos kérdés., Az eredmény az, hogy a legtöbb rendszer, amely az 587-es porton keresztül üzenetet küld, megköveteli az ügyfelektől, hogy használják a startl-eket a kapcsolat frissítéséhez. A hitelesítéshez bejelentkezés és jelszó is szükséges.
ennek a megközelítésnek is volt egy további előnye. Azáltal, hogy a felhasználókat távolítja el a port 25 az e-mail benyújtása, Internetszolgáltatók blokkolhatja kimenő port 25 kapcsolatok a felhasználók számítógépein, amelyek jelentős forrása a spam, miatt a felhasználói számítógépek fertőzött spam küldő vírusok.,
további olvasmányok
SSL / TLS használatával IMAP
SSL / TLS használatával SMTP
SSL / TLS használatával POP3
címkék: IMAP, POP3, SMTP, SSL, TLS