muitas vezes há uma grande confusão sobre os diferentes termos: SSL, TLS, STARTTLS e STLS.

SSL and TLS

SSL and TLS are cryptographic protocols, both provide a way to encrypt communication channel between two machines over the Internet (e.g. client computer and a server). SSL significa Secure Sockets Layer e versão atual é 3.0. TLS significa Transport Layer Security e a versão atual é 1.2. TLS é o sucessor do SSL., Os Termos SSL e TLS podem ser usados indistintamente, a menos que você esteja se referindo a uma versão específica do protocolo.

numeração de versões é inconsistente entre SSL e TLSs. Quando TLS assumiu o SSL como o nome do protocolo preferido, ele começou com um novo número de versão. A ordenação de protocolos em termos de mais antigo para mais novo é: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.

STARTTLS e STLS

STARTTLS é um comando de protocolo, que é emitido por um cliente de E-mail. Ele indica que o cliente quer atualizar a conexão insegura existente para uma conexão segura usando o protocolo criptográfico SSL/TLS., O nome do comando STARTTLS é usado pelos protocolos SMTP e IMAP, enquanto que o protocolo POP3 usa STLS como o nome do comando.

apesar de ter TLS no nome, STARTTLS não significa que TLS será usado. Tanto SSL como TLS são protocolos aceitáveis para garantir a comunicação.

texto claro / texto simples

não é utilizado nenhum protocolo de segurança. Todos os comandos, respostas e dados são transferidos em texto simples.

client.Connect("mail.example.com");

Implict SSL mode

Implict SSL mode means, that you connect to SSL/TLS encripted port.,

client.ConnectSSL("mail.example.com");

modo SSL explícito

modo SSL explícito significa que se liga à porta de texto simples e segura a ligação emitindo o comando STARTTLS (ou STLS) posteriormente (protege explicitamente a ligação).

client.Connect("mail.example.com");client.StartTLS();

assegurar a ligação

independentemente de usar implict (ligar a um porto encriptado SSL / TLS) ou explícito (usar STARTTLS para actualizar uma ligação existente), ambos os lados irão negociar o protocolo e a versão a usar., Esta negociação é baseada na forma como o cliente e o servidor foram configurados e o que cada lado suporta.

suporte SSL/TLS

Suporte para SSL / TLS é virtualmente universal, no entanto, quais versões são suportadas é variável. Praticamente tudo suporta o SSLv3. A maioria das máquinas suporta TLSv1. 0.

TLS vs STARTTLS problema de nomeação

um fator complicador significativo é que algum software de E-Mail usa incorretamente o termo TLS quando eles deveriam ter usado “STARTTLS”ou” SSL/TLS explícitos”., Versões mais antigas do Thunderbird usado “TLS” para significar “impor o uso de STARTTLS para atualizar a conexão, e não se STARTTLS não é suportado” e “TLS, se disponível” para significar “utilizar STARTTLS para atualizar a conexão, se o servidor anuncia o suporte para ele, caso contrário, basta usar uma conexão insegura” (muito problemático, como veremos a seguir).

números de portas

para adicionar segurança a alguns protocolos existentes (IMAP, POP3, SMTP), foi decidido adicionar apenas a encriptação SSL/TLS como uma camada por baixo do protocolo existente., No entanto, para distinguir de que o software deve falar o SSL/TLS versão criptografada do protocolo, em vez de o plaintext, um número de porta diferente foi usado para cada protocolo:

Protocolo texto Simples SSL
IMAP 143 993
POP3 110 995
SMTP 587 ou 25 465

muitas portas?, Solução: texto simples + STARTTLS

em algum momento, foi decidido que ter 2 portas para cada protocolo era um desperdício, e em vez disso é melhor ter 1 porta, que começa como texto simples, mas os clientes podem atualizar a conexão para um SSL/TLS criptografado um usando STARTTLS (ou STLS para o protocolo POP3) comando.

problemas STARTTLS

houve alguns problemas com isso. Existe um monte de software, que usou os números de porta alternativos com conexões SSL/TLS puras., O software cliente pode ser de longa duração, então você não pode simplesmente desativar as portas criptografadas até que todo o software tenha sido atualizado.

cada protocolo recebeu mecanismos para dizer aos clientes que o servidor suportou o upgrade para SSL/TLS (por exemplo, STARTTLS na resposta de capacidade do IMAP), e que eles não devem tentar entrar sem fazer o upgrade STARTTLS (LOGINDISABLED na resposta de capacidade do IMAP)., Isto criou duas situações infelizes:

  • algum software simplesmente ignorou o anúncio de “login desactived until upgraded” (LOGINDISABLED, STARTTLS) e acabou de tentar entrar de qualquer forma, enviando o nome de login do utilizador e a senha através do clear text channel. O servidor rejeitou o login e a senha, mas os detalhes já haviam sido enviados pela Internet em texto simples.
  • outro software viu o” login desativado até atualizado ” anúncio, mas então não iria atualizar a conexão automaticamente, e assim relatou erros de login de volta para o usuário, o que causou confusão sobre o que estava errado.,
    • ambos os problemas resultaram em problemas significativos de compatibilidade com os clientes existentes, e assim a maioria dos administradores de Sistema continuou a usar conexões de texto simples em uma porta, e conexões criptografadas em um número de porta separado.

      desactivar texto simples para IMAP e POP3

      muitas empresas (por exemplo, Gmail, Outlook.com) IMAP simples desactivado (Porto 143) e POP3 simples (Porto 110), por isso as pessoas têm de usar uma ligação encriptada SSL/TLS – isto remove a necessidade de ter o comando STARTTLS completamente.

      STARTTLS SMTP permanece

      a única exceção real ao acima é SMTP., A maioria dos softwares de E-mail usavam SMTP na porta 25 para enviar mensagens para o servidor de E-mail para a transmissão para o destino. No entanto, o SMTP foi originalmente projetado para transferência, não submissão. Assim, outro porto (587) foi definido para envio de mensagens.

      Port 587 não exige STARTTLS, no entanto o uso do Porto 587 tornou-se popular ao mesmo tempo que a realização de que a criptografia SSL/TLS de comunicações entre clientes e servidores foi uma questão importante., O resultado é que a maioria dos sistemas, que oferecem envio de mensagens sobre a porta 587 exigem que os clientes usem STARTLS para atualizar a conexão. O Login e a senha para autenticar também são necessários. também houve um benefício adicional para esta abordagem. Ao afastar os usuários do uso da porta 25 para envio de E-mail, os ISPs podem bloquear a saída da porta 25 conexões dos computadores dos usuários, que eram uma fonte significativa de spam, devido aos computadores de usuário infectados com spam enviando vírus.,

      leituras Adicionais

      Usar SSL/TLS com IMAP
      Usar SSL/TLS com SMTP
      Usar SSL/TLS com POP3

      Tags: IMAP, POP3, SMTP, SSL, TLS