今日、Gmailアカウントにアカウントを追加しているときに、何か面白いことにつまずきました。 TLSがSSLに取って代わるときに、SSLが推奨として大胆に述べられているのはなぜですか?
SSLとTLSのリンクは同じです: https://support.google.com/mail/answer/22370?hl=ja
そのリンクから:
安全な接続を選択
他のメールサービスで、推奨されるポート番号と認証タイプを確認してください。
一般的な組み合わせは次のとおりです。
- ポート465のSSL
- ポート25または587のTLS
違いは、「SSL」はポート465上のSMTP over SSLまたはTLSを意味し、「TLS」はポート25または587上のSTARTTLSを使用するSMTPを意味するということです。では、それらの違いは何ですか?
STARTTLSは日和見暗号化です。接続はプレーンテキストSMTPとして開始され、サーバーが可能であるとクライアントが言った場合、クライアントは暗号化を開始しようとします。これの問題は、平文のネゴシエーションが中間者攻撃によって中継および変更される可能性があることです。これは、sslstripがHTTPリダイレクトおよびHTTPSへのリンクに対して機能する方法とまったく同じです。
一方、SMTP-over-SSLはSSL(またはTLS-正確なプロトコルがネゴシエートされる)接続で始まり、SMTPはそのトンネルを介して行われます。この構成では、クライアントは常にSSLを使用することを期待しており、だまされて平文になることはありません。
したがって、SSLまたはTLSの命名は実際の問題ではありません。 Googleは「SSL」を使用して古い「smtps」標準を意味しています。この場合、実際にはより安全です。実際には、サービスはおそらくTLSを使用しており、Googleのメールサーバーは、他のサービスに応じて、可能な限り最も安全な接続をネゴシエートします。
編集: @Mehrdadがコメントで指摘しているように、ドロップダウンで選択されているポート番号に基づいて、Googleが「推奨」するオプションを変更します。これは、推奨事項が暗号化のより高い保証に基づいていないことを示していますが、動作する可能性が最も高いものに基づいています。ポート465はIANAに「smtps」として登録されており、SMTP-over-SSLであると予想されます。ポート25と587はそれぞれ「smtp」と「submission」であり、プレーンテキストであることが期待されています。 STARTTLSをネゴシエートできない場合、Googleがこれらのポートを介したメールの送信を拒否することはないと思いますので、「TLS」は依然として弱い、日和見的なオプションです。ただし、ポート465よりもサポートされる可能性が高くなります。
編集2: @grawityが問題を解決し、STARTTLSがサポートされていない場合、Googleは実際にはプレーンテキストのSMTPにフォールバックしないと判断しました。サーバーを構成するときは、「安全でない」オプションを明示的に選択する必要があります。これは、メールの転送セキュリティを確保するためのGoogleの非常に優れた取り組みです。もちろん、STARTTLSについてすでに述べたことはすべて真実のままです。ダウングレード攻撃を回避するために、TLSを強力な要件にするこの追加の手順が必要です。
2018年、公式の推奨事項は再び ポート465での暗黙のTLSの使用に変更されました