Perché TLS per e-mail non viene inviato in modo aggressivo agli utenti come HTTPS? [chiuso]

2

I principali browser come Chrome e Firefox sono sempre più aggressivi nella visualizzazione del livello di sicurezza dei siti Web, ad esempio ti avvisano quando provi a inserire password su un sito Web non HTTPS.

Ho appena visto in GMail che le e-mail dei principali siti Web sono effettivamente firmate e utilizzano TLS (ad esempio un'email da PayPal: "firmata da mail.paypal.fr ") ma devi fare clic su una piccola freccia per mostrare un menu per vederlo, ed è scritto in piccolo senza colori.

OK, per i colori, GMail riserva il verde per S / MIME; Ma c'è ancora una ragione per non mostrare un grande "FIRMATO da mail.paypal.fr" o "NON FIRMATO" immediatamente visibile? Ciò impedirebbe un sacco di phishing, giusto? Perché una tale differenza con HTTPS?

Modifica

OK, suppongo che la mia domanda non sia stata molto chiara.

Il commento di @shroeder ( qui ) lo ha parzialmente risolto: il dumping delle e-mail non firmate è il genere di cose che intendevo come "spinta aggressiva". Ancora una volta credo di non sapere abbastanza sulla sicurezza delle e-mail perché ho molte e-mail nel mio GMail dove non c'è "firmato da XXX" nella bolla "more information", quindi immagino che sia un'altra firma a cui @shroeder si riferisce?

Mi dispiace se la mia domanda non è stata ben formulata; è solo che ho ricevuto l'ennesima e-mail di phishing, quindi mi chiedevo come mai dovessi ancora contare su me stesso per identificare un'e-mail falsificata da una legittima in un'era in cui tutti i siti importanti su cui ho un account hanno HTTPS (così loro " sto già firmando roba in continuazione e il mio browser andrà fuori di testa quando qualcosa non va con la firma).

Ho scoperto che non ho ricevuto questa e-mail di phishing sul mio account GMail ma sul mio lavoro, su Thunderbird. Quindi immagino che la mia "vera" domanda sarebbe:

Come mai le e-mail della mia azienda non sono firmate nonostante abbiano un sito Web HTTPS? È molto più lavoro? E come mai non ho mai visto nessuna informazione su Thunderbird riguardo al "livello di sicurezza" delle email che ricevo? Perché so che thunderbird lo mostra quando un email è firmato con PGP per esempio.

Invece di raccontare la mia storia personale, ho cercato di trovare una domanda più "generale", e ... beh apparentemente non sono andato così bene.

    
posta Cédric Van Rompay 10.11.2017 - 17:20
fonte

1 risposta

2

Ci sono molte domande incorporate nella tua "domanda". Cercherò di spiegarne alcuni se posso. C'è anche molta confusione qui tra diversi aspetti della sicurezza. Certamente sembra esserci un errore, perché un'organizzazione ha un certificato che ti aiuta a garantire che il loro sito Web è in realtà il loro, il che significa che puoi in qualche modo fornire sicurezza della posta elettronica con esso. Questo semplicemente non è vero. I siti Web e i servizi di posta elettronica sono cose completamente diverse, in esecuzione su server diversi e possibilmente su piattaforme diverse. Molto probabilmente gestito da terze parti completamente diverse.

Ci sono due parti separate nella crittografia e-mail. La posta stessa e il trasporto tra i sistemi di posta. Il primo utilizza S / MIME o GPG e quest'ultimo utilizza TLS (simile a un sito Web).

Se si guardano le definizioni per servizi di posta elettronica sicuri come quelli governativi. Vedrai che la crittografia TLS tra i servizi di posta è un requisito. Questo è abbastanza facile da ottenere utilizzando, ad esempio, le regole di trasporto in Exchange. Poiché in genere si protegge un numero limitato di endpoint, è ragionevolmente facile da gestire. Idealmente, i server di posta si parlerebbero tra loro su TLS e si autenticano a vicenda: per farlo, i certificati pubblici per i server di posta di ciascuna organizzazione devono essere condivisi tra loro. Così puoi vedere che anche questo può sfuggire di mano molto rapidamente senza una complessa infrastruttura a chiave pubblica.

D'altro canto, crittografare le singole e-mail è un compito ancora più difficile. La tecnologia è abbastanza facile. Ancora. sta gestendo i certificati e le chiavi che è difficile. Questo è il motivo per cui raramente viene fatto ovunque come requisito generale. Anche i governi raramente crittografano i messaggi di posta elettronica ad eccezione delle informazioni più sensibili e anche in questo caso è più probabile trovare un allegato crittografato rispetto a un'e-mail crittografata poiché gli allegati possono essere crittografati con una semplice password che può quindi essere distribuita tramite un altro canale.

Pochissima innovazione effettiva è accaduta per anni sui client di posta elettronica. L'altro giorno stavo colpendo i miei contatti Microsoft a proposito di questo e la crittografia è un'area che manca di innovazione. Tutti sembrano concentrati su altre forme di comunicazione - forse pensano che l'e-mail sia "fatta"? Probabilmente pensano (forse giustamente) che non ci siano soldi in esso. Quindi questa è una delle ragioni per cui non ottieni quello che vuoi.

Altre ragioni derivano dal modo in cui si calcola il "livello" di sicurezza? Questa non è una domanda facile e sarà diversa per ogni persona, organizzazione, sistema di posta, classificazione dei contenuti e altro. A meno che alcune parti non presentino uno standard concordato, è improbabile che ciò possa mai accadere.

C'è anche una terza area che ha un impatto sulle tue domande e che è direttamente correlata al controllo almeno di alcune forme di phishing, in particolare le e-mail che sembrano provenire da un servizio legittimo ma in realtà non lo fanno. Per questo, ci sono una serie di standard che funzionano insieme: SPF, DKIM e DMARC. Tutti i servizi di posta dovrebbero avere definizioni per questi (sono memorizzati nel tuo DNS). Consentono ai servizi di posta di verificare se un'e-mail in arrivo provenga effettivamente da un server di posta autorizzato. Questo sta guadagnando la trazione tra i servizi di posta, ma non è sempre applicato ancora.

Quindi la linea di fondo è che le firme crittografiche sulle e-mail sono difficili a causa della necessità di gestire l'accesso a milioni di certificati che consentono la verifica delle firme. Tuttavia, a livello di server viene fornita una misura di sicurezza richiedendo la convalida dei server di invio, che garantisce almeno che l'e-mail provenga dal servizio corretto, che suppongo sia ciò che sta effettivamente facendo GMail. Questo non è generalmente esposto nei client di posta, poiché in quell'area c'è un così piccolo sviluppo e innovazione (Google è un'eccezione). D'altro canto, se un servizio di posta applica SPF / DKIM / DMARC, non è necessario visualizzare un indicatore poiché solo la posta proveniente dai server verificati potrebbe passare attraverso, anche se questo potrebbe comunque consentire lo spam, non solo da origini simulate.

    
risposta data 12.11.2017 - 15:41
fonte

Leggi altre domande sui tag