J'ai découvert quelque chose d'intéressant aujourd'hui lorsque j'ajoutais un compte à mon compte Gmail. Pourquoi SSL est-il indiqué en gras comme recommandé lorsque TLS remplace SSL?
Les liens pour SSL et TLS sont les mêmes: https://support.google.com/mail/answer/22370?hl=en
À partir de ce lien:
Sélectionnez une connexion sécurisée
Vérifiez auprès de votre autre service de messagerie le numéro de port et le type d'authentification recommandés.
Voici quelques combinaisons courantes:
- SSL avec port 465
- TLS avec port 25 ou 587
La différence est donc que "SSL" signifie SMTP sur SSL ou TLS sur le port 465 et "TLS" signifie SMTP avec STARTTLS sur le port 25 ou 587. Alors, quelle est la différence entre eux?
STARTTLS est un cryptage opportuniste. La connexion démarre en tant que SMTP en texte brut et le client essaie de lancer le chiffrement si le serveur le dit. Le problème est que la négociation en texte brut peut être relayée et modifiée par un attaquant Man-in-the-Middle, exactement de la même manière que sslstrip fonctionne pour les redirections HTTP et les liens vers HTTPS.
SMTP-over-SSL, d'autre part, commence par une connexion SSL (ou TLS - le protocole exact est négocié), puis SMTP est effectué sur ce tunnel. Avec cette configuration, le client s'attend toujours à utiliser SSL et ne peut pas être incité à passer en texte brut.
La dénomination SSL ou TLS n'est donc pas le vrai problème. Google utilise "SSL" pour désigner l'ancienne norme "smtps", qui est en fait plus sécurisée dans ce cas. En réalité, le service utilise probablement TLS, et les serveurs de messagerie de Google négocieront la connexion la plus sécurisée possible, selon l'autre service.
EDIT: Comme @Mehrdad le fait remarquer dans les commentaires, Google changera l'option qui est "recommandée" en fonction du numéro de port sélectionné dans la liste déroulante. Cela montre que leur recommandation n'est pas basée sur une assurance plus élevée du chiffrement, mais sur ce qui est le plus susceptible de fonctionner: le port 465 est enregistré auprès de l'IANA en tant que `` smtps '' et devrait être SMTP sur SSL. Les ports 25 et 587 sont respectivement "smtp" et "soumission" et devraient être en clair. Étant donné que je doute que Google refuse d'envoyer du courrier sur ces ports si STARTTLS ne peut pas être négocié, "TLS" reste l'option la plus faible et opportuniste. Il est cependant plus susceptible d'être pris en charge que le port 465.
EDIT 2: @grawity a fait le travail préparatoire et a déterminé que Google, en fait, ne retombait pas en SMTP en clair si STARTTLS n'était pas pris en charge. Vous devez explicitement sélectionner l'option "Non sécurisé" lors de la configuration du serveur. C'est vraiment un bon travail de Google pour assurer la sécurité du transport des e-mails. Bien sûr, tout ce qui a déjà été dit sur STARTTLS reste vrai: cela nécessite cette étape supplémentaire de faire de TLS une exigence forte pour éviter les attaques de déclassement.
En 2018, la recommandation officielle a changé de nouveau pour utiliser TLS implicite sur le port 465