Con che frequenza vengono utilizzati SSL / TLS o S / MIME dai provider di posta elettronica?

TL; DR - Senza crittografia end-to-end, come S / MIME o PGP, essendo supportato e utilizzato da entrambi i destinatari e del mittente, è una fiera presunzione che la tua e-mail sia stata trasmessa o archiviata in chiaro o altrimenti leggibile da una terza parte, da qualche parte lungo la strada.

Penso che tu abbia qualche concezione errata di ciò che sono S / MIME e SSL / TLS, o di come funzionano.

S / MIME è un meccanismo per fornire la sicurezza dei messaggi end-to-end . La crittografia, la firma digitale, la decrittografia e la verifica delle firme vengono eseguite sugli endpoint dal software client . I server e-mail e i provider di servizi che intervengono non hanno nulla a che fare con questo, poiché i messaggi vengono trasmessi proprio come qualsiasi altro. Inoltre, e forse la cosa più importante, S / MIME deve essere supportato da entrambi i client di invio e ricezione per funzionare. Questo è al di là della capacità di qualsiasi singolo provider di posta elettronica di garantire.

Detto questo, non sono a conoscenza di alcun provider di servizi di posta elettronica comune (ad es. GMail, Yahoo, Hotmail) che sta attualmente facilitando S / MIME nei loro client basati su browser. Certamente nessuno di essi è, né lo vorrebbe essere, abilitandolo come predefinito.

Il motivo per cui questo non può funzionare a livello di provider di servizi è dovuto al fatto che entrambi i client endpoint supportano il protocollo. Poiché il fornitore di servizi del mittente non ha alcun controllo sul software client utilizzato dal destinatario, imporre l'uso di S / MIME sui messaggi in uscita provocherebbe che molti (se non la maggior parte) destinatari non possano leggere le e-mail del mittente.

Le uniche condizioni in cui S / MIME funzionerà sono quando tutti i partecipanti alla conversazione e-mail hanno client compatibili S / MIME e ognuno ha (e ha verificato) le rispettive chiavi pubbliche. Ancora una volta, questo non è qualcosa che qualsiasi singolo fornitore di servizi di posta elettronica può effettuare. Probabilmente potrebbero essere in grado di facilitare ciò tra i propri utenti, ma non hanno lo stesso potere di proteggere le e-mail che vanno da / verso endpoint esterni.

SSL / TLS sono tecnologie comunemente utilizzate per proteggere le comunicazioni tra client e server e da server a server. Tuttavia, eccoci di nuovo in una situazione simile a quella di S / MIME: entrambe le parti della conversazione devono supportarlo. Mentre alcuni fornitori di servizi possono farlo, nessun fornitore di servizi può garantire che SSL / TLS verrà applicato a tutti i messaggi che invii perché non hanno il controllo su ciò che il server ricevente è configurato per supportare.

Per rispondere in modo più conciso alle vostre preoccupazioni, point-by-point:

1. Nessuno dei precedenti usi S / MIME. Anche se sarebbe una buona funzionalità per loro supportare nei loro client web, sarebbe impossibile per loro garantire che funzionerà per tutti i destinatari. È possibile aggirare questo problema utilizzando il proprio client di posta elettronica con supporto S / MIME, invece di utilizzare le interfacce Web. Tuttavia, di nuovo, funzionerà solo dove l'hai coordinato con i destinatari previsti.

2. SSL / TLS è comunemente usato per proteggere le sessioni Web tramite le quali vengono composte le e-mail e le connessioni client con le quali vengono inviate. Viene anche utilizzato per proteggere le comunicazioni da server a server lungo il percorso, ma nessun fornitore di servizi può garantire che i server e-mail o il client di ciascun destinatario supportino e mantengano tale protezione lungo il percorso.

3. Molti provider usano SSL / TLS, ma se sei preoccupato dovresti controllare tu stesso. Anche in questo caso, tuttavia, questo non può garantire che la tua e-mail sia protetta attraverso la trasmissione e l'archiviazione in ogni fase del percorso verso ogni destinatario.

4. Ogni volta che si invia / riceve e-mail che non è protetta da S / MIME, PGP o una soluzione di crittografia end-to-end simile, è necessario presumere che il messaggio sia stato trasmesso o archiviato in il chiaro, o in un'altra forma leggibile da una terza parte, da qualche parte .

L'ultimo punto tocca un problema che non ho ancora affrontato: archiviazione della posta elettronica sul server. Tutti i fornitori di servizi di posta elettronica, per la natura del loro servizio, devono memorizzare le e-mail esattamente come sono state ricevute o utilizzando una qualche forma di crittografia che essi stessi possono invertire. In caso contrario, non saranno in grado di inoltrare l'e-mail in un formato leggibile ad altri o di visualizzarlo nel browser web. Se non utilizzi la crittografia end-to-end, significa che la tua e-mail viene effettivamente archiviata in chiaro. Ciò lo rende vulnerabile agli utenti interni malintenzionati o a chiunque riesca a penetrare nel proprio account di posta elettronica o nel database del server.

2 SSL viene utilizzato in due modi e mentre i provider sembrano essere abbastanza coerenti nell'usarlo per le comunicazioni da server a client, variano da esso per la comunicazione da server a server.

Ho eseguito alcuni test e mentre Gmail e Yahoo utilizzano entrambi la crittografia se entrambe le parti lo supportano, Hotmail non lo usa mai per le comunicazioni da server a server. Ciò significa che la comunicazione tra Hotmail e altri provider Internet è sempre in chiaro

1) In generale S / MIME non è supportato da Gmail, Yahoo, ecc. quando si utilizza il client di posta elettronica basato sul Web (ad esempio, visitare www.gmail.com). Se si desidera utilizzare S / MIME con questi servizi, è necessario utilizzare un client di posta elettronica di terzi (ad esempio Mozilla Thunderbird, MS Outlook, ecc.) E disporre di un modo per gestire e distribuire le proprie chiavi pubbliche e private. Il motivo per cui non è facile utilizzare S / MIME con Gmail ecc. È perché la fonte principale di entrate per queste società è la pubblicità mirata. La fonte primaria di informazioni utilizzate per indirizzare quella pubblicità è il contenuto delle tue e-mail. Se ti consentono di utilizzare facilmente S / MIME per la crittografia end-to-end (in modo che non possano più eseguire la scansione delle tue e-mail), diminuisce la loro principale fonte di entrate (informazioni su di te).

2) Sì, ma tieni presente che la protezione è spesso parziale o incompleta. Solo perché il provider di servizi di posta elettronica consente di connettersi tramite SSL / TLS non significa che supportano le connessioni SSL / TLS verso altri provider di servizi di posta elettronica. Vedere 4) di seguito.

3) No , ~ 50% delle email viaggiano verso o attraverso provider che non supportano SSL / TLS. Credo che AOL abbia iniziato a supportare le connessioni SSL / TLS solo nel 2014 (tramite il loro client di posta elettronica basato sul web). Vedere 4) sotto.

4) In condizioni comuni, le e-mail non sono sicure per diversi motivi. Innanzitutto, il provider di posta elettronica sta analizzando le e-mail in entrata e in uscita per fornire pubblicità mirata. In secondo luogo, circa il 50% delle volte le connessioni tra i vari provider di servizi di posta elettronica non supportano alcuna crittografia, pertanto le e-mail che viaggiano tra questi provider devono essere inviate come testo normale. Non hai la possibilità di controllare questo processo perché è la connessione tra i provider. Ad esempio, se invii un'email dal tuo account Gmail a un amico con un account Yahoo, l'email deve essere trasmessa dai server di Google ai server di Yahoo. La sicurezza di tale connessione dipende dalla volontà di Google e Yahoo di lavorare insieme. Credo che Google e Yahoo abbiano iniziato solo recentemente a supportare le connessioni crittografate l'una con l'altra. Google ha pubblicato alcuni dati a riguardo a giugno (2014). Puoi leggere i dettagli qui: link

How commonly is SSL/TLS used by e-mail providers?

Google fornisce alcune statistiche aggiornate sui domini che utilizzano TLS per crittografare le email tra gli hop.

link