det finns ofta ganska förvirring om de olika termerna: SSL, TLS, STARTTLS och STLS.
SSL och TLS
SSL och TLS är kryptografiska protokoll, båda ger ett sätt att kryptera kommunikationskanal mellan två maskiner via Internet (t.ex. klientdator och en server). SSL står för Secure Sockets Layer och nuvarande version 3.0. TLS står för Transport Layer Security och den nuvarande versionen är 1.2. TLS är efterföljaren till SSL., Termerna SSL och TLS kan användas omväxlande, om du inte hänvisar till en specifik protokollversion.
versionsnumreringen är inkonsekvent mellan SSL och TLSs. När TLS tog över SSL som det föredragna protokollnamnet började det med ett nytt versionsnummer. Beställningen av protokoll när det gäller äldsta till nyaste är: sslv2, SSLv3, TLSv1.0, TLSv1.1, TLSv1.2.
STARTTLS och STLS
STARTTLS är ett protokollkommando som utfärdas av en e-postklient. Det indikerar att klienten vill uppgradera befintlig, osäker anslutning till en säker anslutning med SSL/TLS kryptografiskt protokoll., STARTTLS kommandonamn används av SMTP och IMAP-protokoll, medan POP3-protokollet använder STLS som kommandonamn.
rensa text/oformaterad text
inget säkerhetsprotokoll används alls. Alla kommandon, svar och data överförs i vanlig text.
client.Connect("mail.example.com");
Implict SSL-läge
Implict SSL-läge betyder att du ansluter till SSL / TLS-krypterad port.,
client.ConnectSSL("mail.example.com");
Erotiska SSL-läge
Erotiska SSL-läget innebär att du ansluta till plaint sms: a hamnen och säkra anslutningen genom att utfärda STARTTLS (eller STLS) kommando efteråt (du uttryckligen säkra anslutningen).
client.Connect("mail.example.com");client.StartTLS();
säkra anslutningen
oavsett om du använder implict (ansluta till en SSL / TLS krypterad port) eller explicit (med STARTTLS för att uppgradera en befintlig anslutning) läge, båda sidor kommer att förhandla vilket protokoll och vilken version som ska användas., Denna förhandling bygger på hur klient och server har konfigurerats och vad varje sida stöder.
SSL/TLS-stöd
stöd för SSL / TLS är praktiskt taget universellt, men vilka versioner stöds är variabel. Ganska mycket allt stöder SSLv3. De flesta maskiner stöder TLSv1. 0.
TLS vs STARTTLS namngivning problem
en betydande komplicerande faktor är att vissa e-postprogram felaktigt använder termen TLS när de borde ha använt ”STARTTLS” eller ”explicit SSL / TLS”., Äldre versioner av Thunderbird använde ” TLS ”för att betyda” genomdriva användningen av STARTTLS för att uppgradera anslutningen och misslyckas om STARTTLS inte stöds ”och” TLS, om tillgängligt ”för att betyda” använd STARTTLS för att uppgradera anslutningen, om servern annonserar stöd för det, annars bara använda en osäker anslutning ” (mycket problematisk, som vi ser nedan).
portnummer
för att lägga till säkerhet i vissa befintliga protokoll (IMAP, POP3, SMTP), beslutades det att bara lägga till SSL/TLS-kryptering som ett lager under det befintliga protokollet., För att skilja mellan att programvaran ska prata SSL/TLS-krypterad version av protokollet i stället för den plaintext one, användes ett annat portnummer för varje protokoll:
protokoll | vanlig text | SSL |
---|---|---|
IMAP | 143 | 993 |
POP3 | 110 | 995 |
SMTP | 587 eller 25 | 465 |
för många portar?, Lösning: oformaterad text + STARTTLS
vid något tillfälle beslutades att ha 2 portar för varje protokoll var slöseri, och i stället är det bättre att ha 1 port, som börjar som oformaterad text, men klienter kan uppgradera anslutningen till en SSL / TLS krypterad en med STARTTLS (eller STLS för POP3 protokoll) kommando.
STARTTLS problem
det fanns några problem med detta. Det finns massor av programvara, som använde de alternativa portnumren med rena SSL / TLS-anslutningar., Klientprogramvara kan vara mycket långlivade, så du kan inte bara inaktivera de krypterade portarna tills all programvara har uppgraderats.
varje protokoll fick mekanismer för att berätta för klienter att servern stödde uppgradering till SSL/TLS (t.ex. STARTTLS i IMAP: s KAPACITETSRESPONS) och att de inte skulle försöka logga in utan att göra STARTTLS-uppgraderingen (LOGINDISABLED i IMAP: s KAPACITETSRESPONS)., Detta skapade två olyckliga situationer:
- vissa program ignorerade bara” inloggning inaktiverad tills uppgraderad ” meddelande (LOGINDISABLED, STARTTLS) och försökte bara logga in ändå, skicka användarnamn och lösenord över klar textkanal. Servern avvisade inloggningen och lösenordet, men detaljerna hade redan skickats över Internet i vanlig text.
- annan programvara såg meddelandet ”inloggning inaktiverad tills uppgraderad”, men skulle sedan inte uppgradera anslutningen automatiskt och rapporterade därmed inloggningsfel tillbaka till användaren, vilket orsakade förvirring om vad som var fel.,
båda dessa problem resulterade i betydande kompatibilitetsproblem med befintliga kunder, och så fortsatte de flesta systemadministratörer att bara använda vanliga textanslutningar på en port och krypterade anslutningar på ett separat portnummer.
Inaktivera oformaterad text för IMAP-och POP3 –
Många företag (till exempel Gmail, Outlook.com) funktionshindrade vanlig IMAP (port 143) och vanliga POP3 (port 110), så att folk måste använda en SSL/TLS-krypterad anslutning – detta tar bort behovet av att ha STARTTLS-kommando helt.
SMTP STARTTLS stannar
det enda verkliga undantaget från ovanstående är SMTP., De flesta e-postprogram som används SMTP på port 25 att skicka meddelanden till e-postservern för vidare överföring till destinationen. SMTP var dock ursprungligen avsedd för överföring, inte inlämning. Så ännu en hamn (587) definierades för meddelande inlämning.
Port 587 kräver inte STARTTLS, men användningen av port 587 blev populär ungefär samtidigt som insikten att SSL/TLS-kryptering av kommunikation mellan klienter och servrar var en viktig fråga., Resultatet är att de flesta system, som erbjuder meddelande inlämning över port 587 kräver klienter att använda STARTLS för att uppgradera anslutningen. Inloggning och lösenord för att autentisera krävs också.
det har också varit en ytterligare fördel för detta tillvägagångssätt. Genom att flytta användare bort från att använda port 25 för e-post inlämning, kan Internetleverantörer blockera utgående port 25 anslutningar från användarnas datorer, som var en betydande källa till spam, på grund av användardatorer infekterade med spam skicka virus.,
ytterligare avläsningar
använda SSL / TLS med IMAP
använda SSL / TLS med SMTP
använda SSL / TLS med POP3
taggar: IMAP, POP3, SMTP, SSL, TLS