TL; DR - Senza crittografia end-to-end, come S / MIME o PGP, essendo supportato e utilizzato da entrambi i destinatari e del mittente, è una fiera presunzione che la tua e-mail sia stata trasmessa o archiviata in chiaro o altrimenti leggibile da una terza parte, da qualche parte lungo la strada.
Penso che tu abbia qualche concezione errata di ciò che sono S / MIME e SSL / TLS, o di come funzionano.
S / MIME è un meccanismo per fornire la sicurezza dei messaggi end-to-end . La crittografia, la firma digitale, la decrittografia e la verifica delle firme vengono eseguite sugli endpoint dal software client . I server e-mail e i provider di servizi che intervengono non hanno nulla a che fare con questo, poiché i messaggi vengono trasmessi proprio come qualsiasi altro. Inoltre, e forse la cosa più importante, S / MIME deve essere supportato da entrambi i client di invio e ricezione per funzionare. Questo è al di là della capacità di qualsiasi singolo provider di posta elettronica di garantire.
Detto questo, non sono a conoscenza di alcun provider di servizi di posta elettronica comune (ad es. GMail, Yahoo, Hotmail) che sta attualmente facilitando S / MIME nei loro client basati su browser. Certamente nessuno di essi è, né lo vorrebbe essere, abilitandolo come predefinito.
Il motivo per cui questo non può funzionare a livello di provider di servizi è dovuto al fatto che entrambi i client endpoint supportano il protocollo. Poiché il fornitore di servizi del mittente non ha alcun controllo sul software client utilizzato dal destinatario, imporre l'uso di S / MIME sui messaggi in uscita provocherebbe che molti (se non la maggior parte) destinatari non possano leggere le e-mail del mittente.
Le uniche condizioni in cui S / MIME funzionerà sono quando tutti i partecipanti alla conversazione e-mail hanno client compatibili S / MIME e ognuno ha (e ha verificato) le rispettive chiavi pubbliche. Ancora una volta, questo non è qualcosa che qualsiasi singolo fornitore di servizi di posta elettronica può effettuare. Probabilmente potrebbero essere in grado di facilitare ciò tra i propri utenti, ma non hanno lo stesso potere di proteggere le e-mail che vanno da / verso endpoint esterni.
SSL / TLS sono tecnologie comunemente utilizzate per proteggere le comunicazioni tra client e server e da server a server. Tuttavia, eccoci di nuovo in una situazione simile a quella di S / MIME: entrambe le parti della conversazione devono supportarlo. Mentre alcuni fornitori di servizi possono farlo, nessun fornitore di servizi può garantire che SSL / TLS verrà applicato a tutti i messaggi che invii perché non hanno il controllo su ciò che il server ricevente è configurato per supportare.
Per rispondere in modo più conciso alle vostre preoccupazioni, point-by-point:
-
Nessuno dei precedenti usi S / MIME. Anche se sarebbe una buona funzionalità per loro supportare nei loro client web, sarebbe impossibile per loro garantire che funzionerà per tutti i destinatari. È possibile aggirare questo problema utilizzando il proprio client di posta elettronica con supporto S / MIME, invece di utilizzare le interfacce Web. Tuttavia, di nuovo, funzionerà solo dove l'hai coordinato con i destinatari previsti.
-
SSL / TLS è comunemente usato per proteggere le sessioni Web tramite le quali vengono composte le e-mail e le connessioni client con le quali vengono inviate. Viene anche utilizzato per proteggere le comunicazioni da server a server lungo il percorso, ma nessun fornitore di servizi può garantire che i server e-mail o il client di ciascun destinatario supportino e mantengano tale protezione lungo il percorso.
-
Molti provider usano SSL / TLS, ma se sei preoccupato dovresti controllare tu stesso. Anche in questo caso, tuttavia, questo non può garantire che la tua e-mail sia protetta attraverso la trasmissione e l'archiviazione in ogni fase del percorso verso ogni destinatario.
-
Ogni volta che si invia / riceve e-mail che non è protetta da S / MIME, PGP o una soluzione di crittografia end-to-end simile, è necessario presumere che il messaggio sia stato trasmesso o archiviato in il chiaro, o in un'altra forma leggibile da una terza parte, da qualche parte .
L'ultimo punto tocca un problema che non ho ancora affrontato: archiviazione della posta elettronica sul server. Tutti i fornitori di servizi di posta elettronica, per la natura del loro servizio, devono memorizzare le e-mail esattamente come sono state ricevute o utilizzando una qualche forma di crittografia che essi stessi possono invertire. In caso contrario, non saranno in grado di inoltrare l'e-mail in un formato leggibile ad altri o di visualizzarlo nel browser web. Se non utilizzi la crittografia end-to-end, significa che la tua e-mail viene effettivamente archiviata in chiaro. Ciò lo rende vulnerabile agli utenti interni malintenzionati o a chiunque riesca a penetrare nel proprio account di posta elettronica o nel database del server.