Det er ofte ganske forvirring om de ulike vilkårene: SSL, TLS, STARTTLS og STLS.
SSL og TLS
SSL og TLS er kryptografiske protokoller, gir begge en måte å kryptere kommunikasjonskanal mellom to maskiner over Internett (f.eks. klient-maskin og en server). SSL står for Secure Sockets Layer og gjeldende versjon 3.0. TLS står for Transport Layer Security og gjeldende versjon 1.2. TLS er etterfølgeren til SSL., Vilkårene SSL og TLS kan brukes om hverandre, med mindre du henviser til en bestemt protokoll versjon.
Versjon-nummerering er uoverensstemmelse mellom SSL og TLSs. Når TLS tok over SSL som foretrukket protokoll navn, og begynte med en ny versjon nummeret. Bestilling av protokoller i form av den eldste til den nyeste er: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.
STARTTLS og STLS
STARTTLS er en protokoll kommando, som er utstedt av en e-post klient. Det indikerer at klienten ønsker å oppgradere eksisterende, usikker tilkobling til en sikker tilkobling ved bruk av SSL/TLS kryptografisk protokoll., STARTTLS kommando navnet brukes ved SMTP og IMAP-protokoller, mens POP3-protokollen bruker STLS som kommandoen navn.
Clear text/Plain tekst
Ingen sikkerhetsprotokoll som er brukt i det hele tatt. Alle kommandoer, svar og data overføres i klartekst.
client.Connect("mail.example.com");
Implict SSL-modus
Implict SSL-modus betyr at du koble til SSL/TLS-kryptert-port.,
client.ConnectSSL("mail.example.com");
Eksplisitt SSL-modus
Eksplisitt SSL-modus betyr at du koble til plaint tekst port og sikre tilkoblingen ved å utstede STARTTLS (eller STLS) kommando etterpå (du eksplisitt sikre tilkoblingen).
client.Connect("mail.example.com");client.StartTLS();
Sikre tilkoblingen
Uansett om du bruker implict (koble til en SSL/TLS-kryptert-port) eller eksplisitt (ved å bruke STARTTLS for å oppgradere en eksisterende tilkobling) – modus, begge sider vil forhandle om hvilken protokoll og hvilken versjon du vil bruke., Dette forhandling er basert på hvordan klienten og serveren har blitt konfigurert, og hva hver side støtter.
SSL/TLS-støtte
Støtte for SSL/TLS er nesten universell, men hvilke versjoner som støttes er variabel. Ganske mye av alt støtter SSLv3. De fleste maskiner støtte TLSv1.0.
TLS vs STARTTLS navngi problem
En betydelig kompliserende faktor er at noen e-post programvare feilaktig bruker betegnelsen TLS når de burde ha brukt «STARTTLS» eller «eksplisitt SSL/TLS»., Eldre versjoner av Thunderbird brukt «TLS» til å bety «håndheve bruke STARTTLS for å oppgradere den forbindelse, og mislykkes hvis STARTTLS er ikke støttet» og «TLS, hvis det er tilgjengelig» til å bety «bruke STARTTLS for å oppgradere den forbindelse, hvis serveren annonserer støtte for det, ellers ta med bare bruke en usikker tilkobling» (svært problematisk, som vi vil se nedenfor).
– Port tall
for Å legge sikkerhet til noen eksisterende protokoller (IMAP, POP3, SMTP), ble det besluttet å bare legge til SSL/TLS-kryptering som et lag under den eksisterende protokollen., Men for å skille ut at programvaren skal snakke SSL/TLS-kryptert versjon av protokollen snarere enn ren tekst, en annen port nummer som ble brukt for hver protokoll:
– Protokollen | Vanlig tekst | SSL |
---|---|---|
IMAP | 143 | 993 |
POP3 | 110 | 995 |
SMTP | 587 eller 25 | 465 |
For mange porter?, Løsning: Ren tekst + STARTTLS
På et tidspunkt ble det bestemt at det å ha 2 porter for hver protokoll var unødvendig, og i stedet er det bedre å ha 1-porten, som starter som vanlig tekst, men kundene kan oppgradere tilkobling til en SSL/TLS-kryptert man bruke STARTTLS (eller STLS for POP3-protokollen) kommando.
STARTTLS problemer
Det var noen problemer med dette. Det finnes massevis av programvare, som brukte den alternative portnumre med ren SSL/TLS-tilkoblinger., Klienten kan være svært lang bodde, så du kan ikke bare deaktivere den krypterte porter til all programvare som har blitt oppgradert.
Hver protokoll mottatt mekanismer for å fortelle kunder om at server støttes oppgradering til SSL/TLS (f.eks. STARTTLS i IMAP-EVNE svar), og at de ikke bør forsøke å logge deg på uten å gjøre STARTTLS oppgradere (LOGINDISABLED i IMAP-EVNE respons)., Dette skapte to uheldige situasjoner:
- Noen programvare bare ignorerte «logg inn deaktivert inntil oppgradert» kunngjøring (LOGINDISABLED, STARTTLS) og bare prøvde å logge deg på uansett, sender brukernavn og passord over klartekst kanal. Serveren avviste brukernavn og passord, men detaljene hadde allerede blitt sendt over Internett som ren tekst.
- Andre programvaren så «logg inn deaktivert inntil oppgradert» kunngjøring, men da ville det ikke oppgradere forbindelsen automatisk, og dermed rapportert innlogging feil tilbake til brukeren, noe som skapte forvirring om hva som var galt.,
Begge disse problemene resulterte i betydelig kompatibilitet med eksisterende kunder, og derfor er de fleste systemansvarlige fortsatte å bare bruke ren tekst-tilkoblinger på en port, og krypterte tilkoblinger på en egen port nummer.
Deaktiver ren tekst for IMAP og POP3
Mange selskaper (for eksempel Gmail, Outlook.com) deaktivert vanlig IMAP (port 143) og vanlig POP3 (port 110), så folk må bruke en SSL/TLS-kryptert tilkobling – dette fjerner behovet for å ha STARTTLS kommandoen fullstendig.
SMTP-STARTTLS opphold
en ekte unntak fra ovenstående er SMTP., De fleste e-programvare som brukes på SMTP-port 25 for å sende meldinger til e-post server for videre overføring til målet. Men SMTP ble opprinnelig utviklet for overføring, ikke underkastelse. Så enda en port (587) ble definert for melding underkastelse.
Port 587 ikke mandat som krever STARTTLS, men bruken av port 587 ble populært rundt samme tid som den erkjennelse at SSL/TLS-kryptering av kommunikasjon mellom klienter og servere var en viktig sak., Resultatet er at de fleste systemer, som tilbyr melding innsending over port 587 krever at klienter til å bruke STARTLS å oppgradere den forbindelse. Brukernavn og passord for å autentisere er også nødvendig.
Det har vært en ekstra fordel til denne tilnærmingen, så vel. Ved å flytte brukere bort fra å bruke port 25 for e-post innlevering, internett-Leverandører kan blokkere utgående port 25 tilkoblinger fra brukere’ datamaskiner, noe som var en betydelig kilde til spam, på grunn av bruker datamaskiner infisert med spam sender virus.,
Ytterligere målinger
ved Hjelp av SSL/TLS med IMAP
ved Hjelp av SSL/TLS med SMTP
ved Hjelp av SSL/TLS med POP3 –
– >
– tag: IMAP, POP3, SMTP, SSL, TLS –
– >