Оппортунистический TLS (безопасность транспортного уровня) относится к расширениям в протоколах связи с открытым текстом, которые предлагают способ обновления простого текстовое соединение с зашифрованным (TLS или SSL ) соединением вместо использования отдельного порта для зашифрованной связи. Некоторые протоколы используют для этой цели команду «STARTTLS ». Это в первую очередь предназначено в качестве меры противодействия пассивному мониторингу.
. Команда STARTTLS для IMAP и POP3 определена в RFC 2595 для SMTP в RFC 3207, для XMPP в RFC 6120 и для NNTP в RFC 4642. Для IRC рабочая группа IRCv3 определила расширение STARTTLS. FTP использует команду «AUTH TLS», определенную в RFC 4217, а LDAP определяет расширение протокола OID в RFC 2830. HTTP использует заголовок обновления.
TLS не зависит от приложения; в словах RFC 5246 :
Стиль, используемый для указания того, как использовать TLS, соответствует тому же самому различие уровней, которое также удобно поддерживается несколькими реализациями TLS библиотек. Например, расширение SMTP RFC 3207 иллюстрирует в следующем диалоге, как клиент и сервер могут начать безопасный сеанс:
S:C: S: 220 mail. example.org Служба ESMTP готова C: EHLO client.example.org S: 250-mail.example.org предлагает теплые объятия S: 250 STARTTLS C: STARTTLS S: 220 Вперед C: CS: CS: C: EHLO client.example.org...
Последняя команда EHLO, указанная выше, выдается по защищенному каналу. Обратите внимание, что аутентификация не является обязательной в SMTP, и пропущенный ответ сервера теперь может безопасно анонсировать расширение AUTH PLAIN SMTP, которого нет в текстовом ответе.
Помимо использования гибкого TLS, ряд TCP-портов был определен для SSL-защищенных версий широко известных протоколов. Они устанавливают безопасную связь, а затем представляют поток связи, идентичный старому незашифрованному протоколу. Отдельные порты SSL имеют преимущество меньшего количества циклов передачи ; также меньше метаданных передается в незашифрованном виде. Вот некоторые примеры:
Протокол | Цель | Обычный порт | Вариант SSL | Порт SSL |
---|---|---|---|---|
SMTP | Отправить электронное письмо | 25/587 | SMTPS | 465 |
POP3 | Получить электронную почту | 110 | POP3S | 995 |
IMAP | Прочитать электронную почту | 143 | IMAPS | 993 |
NNTP | News reader | 119/433 | NNTPS | 563 |
LDAP | Directory Access | 389 | LDAPS | 636 |
FTP | Передача файлов | 21 | FTPS | 990 |
По крайней мере, для протоколов, связанных с электронной почтой, RFC 8314 поддерживает отдельные порты SSL вместо STARTTLS.
Оппортунистический TLS - это механизм гибкого шифрования. Поскольку первоначальное рукопожатие происходит в виде обычного текста, злоумышленник, контролирующий сеть, может изменить сообщения сервера с помощью атаки человек в середине, чтобы создать впечатление, что TLS недоступен (так называемый STRIPTLS атака ). Большинство клиентов SMTP затем отправят электронное письмо и, возможно, пароли в виде обычного текста, часто без уведомления пользователя. В частности, между почтовыми серверами происходит много SMTP-соединений, где уведомление пользователя нецелесообразно.
В сентябре 2014 года было обнаружено, что два интернет-провайдера в Таиланде делали это со своими клиентами. В октябре 2014 года выяснилось, что Cricket Wireless, дочерняя компания ATT, делает это со своими клиентами. Такое поведение началось еще в сентябре 2013 года компанией Aio Wireless, которая позже объединилась с Cricket, где эта практика продолжилась.
Атаки STRIPTLS можно заблокировать, настроив клиентов SMTP на требование TLS для исходящих подключений ( например, Exim агент передачи сообщений может потребовать TLS через директиву hosts_require_tls). Однако, поскольку не каждый почтовый сервер поддерживает TLS, нецелесообразно просто требовать TLS для всех подключений.
Пример атаки STRIPTLS типа, используемого в тайской технологии массового наблюдения :
220 smtp.gmail.com ESMTP mail.redcted.com - gsmtp ehlo a 250-smtp.gmail.com к вашим услугам, [УДАЛЕНО СЛУЖБА] 250-SIZE 35882577 250-8BITMIME # Команда STARTTLS здесь лишена 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 | 220 smtp.gmail.com ESMTP - gsmtp ehlo a 250- smtp.gmail.com к вашим услугам 250-SIZE 35882577 250-8BITMIME 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-PIPELINING 250 SMTPUTF8 |
Эта проблема решается с помощью аутентификации именованных объектов на основе DNS (DANE), часть DNSSEC и, в частности, RFC 7672 для SMTP. DANE позволяет рекламировать поддержку безопасного SMTP через запись TLSA. Это говорит подключающимся клиентам, что им следует требовать TLS, что предотвращает атаки STRIPTLS. Проект STARTTLS Everywhere от Electronic Frontier Foundation работает аналогичным образом. Однако DNSSEC из-за сложности развертывания и специфической критики столкнулся с низким уровнем внедрения, и новый протокол под названием SMTP MTA Strict Transport Security или MTA-STS был разработан группой крупных поставщиков услуг электронной почты, включая Microsoft, Google и Yahoo. MTA-STS не требует использования DNSSEC для аутентификации записей DANE TLSA, но полагается на систему центра сертификации (CA) и подход доверия при первом использовании (TOFU), чтобы избежать перехвата. Модель TOFU обеспечивает уровень безопасности, аналогичный уровню HPKP, уменьшая сложность, но без гарантий при первом использовании, предлагаемых DNSSEC. Кроме того, MTA-STS представляет механизм для отчетов о сбоях и режим только для отчетов, что обеспечивает постепенное развертывание и проверку соответствия.
После разоблачений, сделанных Эдвардом Сноуденом в свете глобального скандала с массовым наблюдением, популярные провайдеры электронной почты повысили безопасность своей электронной почты на включение STARTTLS. Facebook сообщил, что после включения STARTTLS и поощрения других провайдеров сделать то же самое, пока Facebook не прекратил свою службу электронной почты в феврале 2014 года, 95% исходящей электронной почты было зашифровано с помощью обоих Perfect Forward Secrecy и строгая проверка сертификата.
.