Ho inciampato in qualcosa di interessante oggi quando stavo aggiungendo un account a quello di Gmail. Perché SSL ha dichiarato in grassetto come raccomandato quando TLS sostituisce SSL?
I link per SSL e TLS sono gli stessi: link
Ho inciampato in qualcosa di interessante oggi quando stavo aggiungendo un account a quello di Gmail. Perché SSL ha dichiarato in grassetto come raccomandato quando TLS sostituisce SSL?
I link per SSL e TLS sono gli stessi: link
Da quel link:
Select a secured connection
Check with your other mail service for their recommended port number and authentication type.
Here are some common combinations:
- SSL with port 465
- TLS with port 25 or 587
La differenza, quindi, è che "SSL" significa SMTP su SSL-o-TLS sulla porta 465 e "TLS" significa SMTP con STARTTLS sulla porta 25 o 587. Quindi qual è la differenza tra loro?
STARTTLS è una crittografia opportunistica. La connessione inizia come SMTP in chiaro e il client tenta di avviare la crittografia se il server dice che può farlo. Il problema è che la negoziazione in testo in chiaro può essere inoltrata e modificata da un utente malintenzionato di Man-in-the-Middle, esattamente come funziona sslstrip per i reindirizzamenti HTTP e i collegamenti a HTTPS.
SMTP-over-SSL, d'altra parte, inizia con una connessione SSL (o TLS - il protocollo esatto è negoziato), quindi SMTP viene condotto su quel tunnel. Con questa configurazione, il client si aspetta sempre di usare SSL, e non può essere ingannato per andare in chiaro.
Quindi la denominazione SSL-o-TLS non è il vero problema. Google sta usando "SSL" per indicare il vecchio standard "smtps", che in questo caso è più sicuro. In realtà, il servizio utilizza probabilmente TLS e i server di posta di Google negozieranno la connessione più sicura possibile, a seconda dell'altro servizio.
EDIT: come indicato da @Mehrdad nei commenti, Google cambierà quale opzione è "consigliata" in base al numero di porta selezionato nel menu a discesa. Ciò dimostra che la loro raccomandazione non si basa su una maggiore sicurezza della crittografia, ma su ciò che è più probabile che funzioni: la porta 465 è registrata con IANA come "smtps" e dovrebbe essere SMTP-over-SSL. Le porte 25 e 587 sono rispettivamente 'smtp' e 'submission' e dovrebbero essere in chiaro. Poiché dubito che Google si rifiuterà di inviare posta su queste porte se STARTTLS non può essere negoziato, "TLS" rimane l'opzione più opportunistica e più debole. Tuttavia, è più probabile che sia supportato della porta 465.
EDIT 2: @grawity ha fatto il lavoro di gambe e ha stabilito che Google non ricade, di fatto, in SMTP in chiaro se STARTTLS non è supportato. Devi selezionare esplicitamente l'opzione "Non protetto" durante la configurazione del server. Questo è davvero un buon lavoro di Google per garantire la sicurezza del trasporto delle e-mail. Ovviamente, tutto ciò che è già stato detto su STARTTLS rimane vero: richiede questo ulteriore passaggio per rendere TLS un requisito fondamentale per evitare attacchi di downgrade.