Perché Gmail (aggiungi account) tramite il server SMTP consiglia SSL invece di TLS?

59

Ho inciampato in qualcosa di interessante oggi quando stavo aggiungendo un account a quello di Gmail. Perché SSL ha dichiarato in grassetto come raccomandato quando TLS sostituisce SSL?

I link per SSL e TLS sono gli stessi: link

Gmail"aggiungi indirizzo" pagina

    
posta user153882 14.06.2017 - 06:20
fonte

1 risposta

74

Da quel link:

Select a secured connection

Check with your other mail service for their recommended port number and authentication type.

Here are some common combinations:

  • SSL with port 465
  • TLS with port 25 or 587

La differenza, quindi, è che "SSL" significa SMTP su SSL-o-TLS sulla porta 465 e "TLS" significa SMTP con STARTTLS sulla porta 25 o 587. Quindi qual è la differenza tra loro?

STARTTLS è una crittografia opportunistica. La connessione inizia come SMTP in chiaro e il client tenta di avviare la crittografia se il server dice che può farlo. Il problema è che la negoziazione in testo in chiaro può essere inoltrata e modificata da un utente malintenzionato di Man-in-the-Middle, esattamente come funziona sslstrip per i reindirizzamenti HTTP e i collegamenti a HTTPS.

SMTP-over-SSL, d'altra parte, inizia con una connessione SSL (o TLS - il protocollo esatto è negoziato), quindi SMTP viene condotto su quel tunnel. Con questa configurazione, il client si aspetta sempre di usare SSL, e non può essere ingannato per andare in chiaro.

Quindi la denominazione SSL-o-TLS non è il vero problema. Google sta usando "SSL" per indicare il vecchio standard "smtps", che in questo caso è più sicuro. In realtà, il servizio utilizza probabilmente TLS e i server di posta di Google negozieranno la connessione più sicura possibile, a seconda dell'altro servizio.

EDIT: come indicato da @Mehrdad nei commenti, Google cambierà quale opzione è "consigliata" in base al numero di porta selezionato nel menu a discesa. Ciò dimostra che la loro raccomandazione non si basa su una maggiore sicurezza della crittografia, ma su ciò che è più probabile che funzioni: la porta 465 è registrata con IANA come "smtps" e dovrebbe essere SMTP-over-SSL. Le porte 25 e 587 sono rispettivamente 'smtp' e 'submission' e dovrebbero essere in chiaro. Poiché dubito che Google si rifiuterà di inviare posta su queste porte se STARTTLS non può essere negoziato, "TLS" rimane l'opzione più opportunistica e più debole. Tuttavia, è più probabile che sia supportato della porta 465.

EDIT 2: @grawity ha fatto il lavoro di gambe e ha stabilito che Google non ricade, di fatto, in SMTP in chiaro se STARTTLS non è supportato. Devi selezionare esplicitamente l'opzione "Non protetto" durante la configurazione del server. Questo è davvero un buon lavoro di Google per garantire la sicurezza del trasporto delle e-mail. Ovviamente, tutto ciò che è già stato detto su STARTTLS rimane vero: richiede questo ulteriore passaggio per rendere TLS un requisito fondamentale per evitare attacchi di downgrade.

    
risposta data 14.06.2017 - 06:37
fonte

Leggi altre domande sui tag