există adesea destul de o confuzie cu privire la diferiți termeni: SSL, TLS, STARTTLS și STLS.

SSL și TLS

SSL și TLS sunt protocoale criptografice, ambele oferă o modalitate de a cripta canalul de comunicare între două mașini pe Internet (de exemplu, computerul client și un server). SSL standuri pentru Secure Sockets Layer și versiunea curentă este 3.0. TLS reprezintă Transport Layer Security, iar versiunea curentă este 1.2. TLS este succesorul SSL., Termenii SSL și TLS pot fi utilizați interschimbabil, cu excepția cazului în care vă referiți la o versiune specifică a protocolului.

numerotarea versiunilor este inconsistentă între SSL și TLSs. Când TLS a preluat SSL ca nume de protocol preferat, a început cu un nou număr de versiune. Comanda de protocoale în termeni de cel mai vechi la cel mai nou este: SSLv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.

STARTTLS și STLS

STARTTLS este o comandă de protocol, care este emis de un client de e-mail. Acesta indică, că clientul dorește să faceți upgrade existente, conexiune nesigură la o conexiune securizată folosind SSL / TLS protocol criptografic., Numele comenzii STARTTLS este utilizat de protocoalele SMTP și IMAP, în timp ce protocolul POP3 utilizează STLS ca nume de comandă.

în ciuda faptului că are TLS în nume, STARTTLS nu înseamnă că TLS va fi utilizat. Atât SSL cât și TLS sunt protocoale acceptabile pentru securizarea comunicării.

Clear text / Plain text

niciun protocol de securitate nu este utilizat deloc. Toate comenzile, răspunsurile și datele sunt transferate în text simplu.

client.Connect("mail.example.com");

Implict modul SSL

Implict modul SSL înseamnă, că vă conectați la SSL/TLS criptate port.,

client.ConnectSSL("mail.example.com");

Explicit modul SSL

Explicit modul SSL înseamnă, că vă conectați la un text plângere port și securiza conexiunea prin emiterea STARTTLS (sau STIS) comandă după aceea (în mod explicit o legătură sigură).

client.Connect("mail.example.com");client.StartTLS();

Securizarea conexiunii

Indiferent dacă utilizați implict (conectarea la un SSL/TLS criptate port) sau explicit (folosind STARTTLS pentru a face upgrade o conexiune existentă) modul, ambele părți vor negocia protocolul pe care și versiunea pe care doriți să o utilizați., Această negociere se bazează pe modul în care clientul și serverul au fost configurate și ce suportă fiecare parte.

SSL / TLS suport

suport pentru SSL / TLS este practic universal, cu toate acestea, care versiuni sunt acceptate este variabilă. Destul de mult totul suportă SSLv3. Cele mai multe mașini de sprijin TLSv1.0.

TLS vs STARTTLS naming problem

un factor semnificativ de complicare este că unele software-uri de e-mail utilizează incorect termenul TLS atunci când ar fi trebuit să folosească „STARTTLS” sau „explicit SSL/TLS”., Versiunile mai vechi de Thunderbird folosit „TLS” înseamnă „punerea în aplicare utilizarea de STARTTLS să faceți upgrade la conexiune, si nu reusesc dacă STARTTLS nu este acceptat” și „TLS, dacă sunt disponibile” înseamnă „utilizarea STARTTLS să faceți upgrade la conexiune, dacă serverul reclamă suport pentru ea, în caz contrar, folosește o conexiune nesigură” (foarte problematic, așa cum vom vedea mai jos).pentru a adăuga securitate la unele protocoale existente (IMAP, POP3, SMTP), s-a decis doar adăugarea criptării SSL/TLS ca strat sub protocolul existent., Cu toate acestea, pentru a distinge că software-ul ar trebui să vorbim SSL/TLS versiune criptată a protocolului, mai degrabă decât plaintext, un număr de port diferit a fost folosit pentru fiecare protocol:

Protocol text Simplu SSL
IMAP 143 993
POP3 110 995
SMTP 587 sau 25 465

Prea multe porturi?, Soluție: Plain text + STARTTLS

la un moment dat, sa decis că având 2 porturi pentru fiecare protocol a fost risipitor, și în schimb este mai bine să aibă 1 port, care începe ca text simplu, dar clienții pot actualiza conexiunea la un SSL/TLS criptat unul folosind STARTTLS (sau STLS pentru protocolul POP3) comanda.

probleme STARTTLS

au existat câteva probleme cu acest lucru. Există o mulțime de software, care a folosit numerele de port alternativ cu conexiuni SSL/TLS pure., Software-ul Client poate fi trăit foarte mult timp, astfel încât nu puteți dezactiva doar porturile criptate până când tot software-ul a fost actualizat.

Fiecare protocol primite de mecanisme pentru a spune clienților că serverul a sprijinit modernizarea pentru SSL/TLS (de exemplu, STARTTLS în IMAP CAPACITATEA de răspuns), și că acestea nu ar trebui să încercați să vă conectați fără a face STARTTLS upgrade (LOGINDISABLED în IMAP CAPACITATEA de răspuns)., Acest lucru a creat două situații nefericite:

  • Unele software-ul doar ignorat „login cu handicap până modernizate” anunț (LOGINDISABLED, STARTTLS) și a încercat să vă conectați oricum, trimiterea de utilizator numele de conectare și parola pe text clar canal. Serverul a respins datele de conectare și parola, dar detaliile au fost deja trimise pe internet în text simplu.
  • alt software a văzut anunțul „conectare dezactivată până la actualizare”, dar apoi nu a actualizat automat conexiunea și, astfel, a raportat erori de conectare la utilizator, ceea ce a provocat confuzie cu privire la ceea ce a fost greșit.,ambele probleme au dus la probleme semnificative de compatibilitate cu clienții existenți, astfel încât majoritatea administratorilor de sistem au continuat să utilizeze conexiuni text simplu pe un port și conexiuni criptate pe un număr de port separat.

    dezactivați textul simplu pentru IMAP și POP3

    multe companii (de exemplu, Gmail, Outlook.com) dezactivat IMAP simplu (port 143) și POP3 simplu (port 110), astfel încât oamenii trebuie să utilizeze o conexiune criptată SSL/TLS – aceasta elimină necesitatea de a avea comanda STARTTLS complet.

    SMTP STARTTLS rămâne

    singura excepție reală de la cele de mai sus este SMTP., Majoritatea software-ului de e-mail a folosit SMTP pe portul 25 pentru a trimite mesaje către serverul de e-mail pentru transmiterea ulterioară către destinație. Cu toate acestea SMTP a fost inițial proiectat pentru transfer, nu depunerea. Deci, încă un alt port (587) a fost definit pentru trimiterea mesajelor.

    portul 587 nu impune necesitatea STARTTLS, totuși utilizarea portului 587 a devenit populară în același timp cu realizarea faptului că criptarea SSL/TLS a comunicațiilor între clienți și servere a fost o problemă importantă., Rezultatul este că cele mai multe sisteme, care oferă un mesaj de depunere pe portul 587 nevoie de clienti pentru a utiliza STARTLS să faceți upgrade la conexiune. De asemenea, este necesară autentificarea și parola pentru autentificare.

    a existat un beneficiu suplimentar pentru această abordare, de asemenea. Prin îndepărtarea utilizatorilor de la utilizarea portului 25 pentru trimiterea e-mailului, ISP-urile pot bloca conexiunile portului 25 de ieșire de pe computerele utilizatorilor, care au fost o sursă semnificativă de spam, din cauza computerelor utilizatorilor infectate cu viruși care trimit spam.,

    citiri suplimentare

    folosind SSL/TLS cu IMAP
    folosind SSL/TLS cu SMTP
    folosind SSL/TLS cu POP3

    etichete: IMAP, POP3, SMTP, SSL, TLS