Ενημέρωση και αλλαγή από tls1.1 σε tls1.2 (only)

Πολλές φορές δημιουργείται σύγχυση μεταξύ των όρων SSL, TLS, and STARTTLS. Σε αυτό το άρθρο θα γίνει αναφορά στις διαφορές που υπάρχουν μεταξύ τους, ώστε να γίνουν ξεκάθαρες αυτές οι έννοιες. Ακόμη θα γίνει αναφορά σε κάποιες σύγχρονες καλές πρακτικές που πρέπει να χρησιμοποιούνται κατά την επικοινωνία μιας εφαρμογής ή ενός client με τους mail servers της υποδομής μας, στα πλαίσια διασφάλισης ασφαλούς και κρυπτογραφημένης επικοινωνίας.

Ποιες είναι οι διαφορές SSL/TLS έναντι STARTTLS;

 

SSL/TLS
Το Secure Socket Layer (SSL) και τοTransport Layer Security (TLS) είναι και τα δύο πρωτόκολλα ισχυρής κρυπτογράφησης που παρέχουν ασφάλεια στην επικοινωνία σε ένα δίκτυο. Δίκτυο εννοούμε για παράδειγμα, όταν ένας client συνδέεται με ένα server.

 

Τα συγκεκριμένα πρωτόκολλα χρησιμοποιούνται στην καθημερινότητά μας σε πλήθος εφαρμογών όπως στην περιήγηση μας στον παγκόσμιο ιστό, την υπηρεσία email, την μεταφορά αρχείων, την ανταλλαγή άμεσων μηνυμάτων, σε τηλεδιασκέψεις, VoIP κτλ. Το TLS είναι η συνέχεια του SSL πρωτοκόλλου.

 

Οι αριθμοί εκδόσεων SSL και TLS με σειρά από την παλαιότερη στη νεότερη είναι : SSL v2, SSL v3, TLS v1.0, TLS v1.1, TLS v1.2, TLS v1.3.

 

Όπως ήδη θα γνωρίζετε, οι εκδόσεις που υποστηρίζονται πλέον από την υποδομή μας είναι οι TLS v1.2 & v1.3. Οι υπόλοιπες εκδόσεις έχουν καταργηθεί λόγω γνωστών ευπαθειών.

Σε αυτό το άρθρο μπορείτε να δείτε με ποια έκδοση TLS είναι συμβατή η πλατφόρμα λογισμικού ή το λειτουργικό σύστημα που χρησιμοποιείτε.

 

STARTTLS
Το STARTTLS διαφέρει απο το SSL και το TLS καθώς δεν είναι πρωτόκολλο επικοινωνίας. Είναι μια εντολή πρωτοκόλλου που χρησιμοποιείται για να ενημερώσει τον email server ότι ο email client θέλει να αναβαθμίσει τη σύνδεση από μη ασφαλή σε ασφαλή σύνδεση, χρησιμοποιώντας SSL ή ΤLS πρωτόκολλο.

 

Πιο αναλυτικά, στο παρελθόν προτού εδραιωθεί η κρυπτογραφημένη μέθοδος επικοινωνίας με χρήση ασφαλών θυρών (πχ 587, 465, 995, 993), πολλές συνδέσεις μεταξύ ενός client και ενός server γινόταν με μη ασφαλή τρόπο, χρησιμοποιώντας τις default θύρες όπως η 25, 143 & 110. Αυτό έθετε σε κίνδυνο υποκλοπής και αλλοίωσης δεδομένων και σημαντικών πληροφοριών. Το STARTTLS ήρθε να βοηθήσει στη μείωση αυτού του κινδύνου, μετατρέποντας τη μη ασφαλή σύνδεση σε ασφαλή, με χρήση είτε SSL είτε TLS.

 

Με άλλα λόγια, το STARTTLS, χρησιμοποιεί τις θύρες 25, 143 & 110 αλλά με κρυπτογραφημένο τρόπο. Ο τρόπος που λειτουργεί είναι ο εξής: κατά την πρώτη επικοινωνία η σύνδεση πραγματοποιείται χωρίς κρυπτογράφηση και μετά ο client που στέλνει το email πρόκειται να ρωτήσει τον server εάν υποστηρίζει κάποια κρυπτογραφημένη μέθοδο. Εάν ο server υποστηρίζει κρυπτογραφημένη μέθοδο, τότε θα ξεκινήσει η επικοινωνία μεταξύ τους με κρυπτογράφηση. Αν ο server δεν υποστηρίζει κρυπτογραφημένη μέθοδο, τότε η σύνδεση δεν θα αναβαθμιστεί, και θα επιστρέψει στην αρχική επικοινωνία η οποία θα γίνει με μη ασφαλή τρόπο (κάτι το οποίο δεν συνίσταται για λόγους ασφαλείας και προστασίας προσωπικών δεδομένων). Αυτή η πρώτη επικοινωνία εμείς προτείνουμε να είναι πάντα secured γιατί στέλνονται πληροφορίες όπως username & password που δεν πρέπει να υποκλαπούν.

 

Ας αναφέρουμε ένα παράδειγμα. Κατά την SMTP επικοινωνία, αν η επικοινωνία γίνει στην θύρα 587 η σύνδεση είναι ασφαλής, το οποίο είναι και το ιδανικό. Εάν η σύνδεση γίνει στην θύρα 25, η σύνδεση είναι μη ασφαλής, όμως με χρήση STARTTLS, υπάρχει η δυνατότητα να σταλούν STARTTLS εντολές και να αναβαθμιστεί σε ασφαλή σύνδεση.

 

Παρακάτω θα αναφέρουμε βέλτιστες πρακτικές και κάποιες επικείμενες αλλαγές στην mail υπηρεσία που  θα χρειαστεί να κάνετε σε περίπτωση χρήσης θυρών με ασφαλή σύνδεση αλλά και θυρών με μη ασφαλή σύνδεση.

 

Επικείμενες αλλαγές στη mail υπηρεσία

 

Όπως αναφέρθηκε και παραπάνω, στα πλαίσια αναβάθμισης και ενίσχυσης της προστασίας πληροφοριών που μεταφέρονται σε ένα δίκτυο κατά την επικοινωνία με τους mail servers της υποδομής μας, στόχος είναι να χρησιμοποιούνται από όλους κρυπτογραφημένες (encrypted) μέθοδοι. Ο λόγος είναι γιατί θέλουμε να διασφαλίσουμε την πιστοποίηση του χρήστη, την ακεραιότητα των δεδομένων και ότι δεν θα τα υποκλέψει κάποιος άλλος τα δεδομένα που μεταφέρονται.
Για να επιτευχθεί αυτό, στην υποδομή μας έχουμε εφαρμόσει και υποστηρίζουμε όλες τις σύγχρονες μεθόδους κρυπτογράφησης που διασφαλίζουν την ασφαλή επικοινωνία μεταξύ του email server και των email clients/εφαρμογών που χρησιμοποιείτε.
Από την πλευρά σας, θα πρέπει να εγκαταλείψετε τα παλιά πρωτόκολλα επικοινωνίας τα οποία κρίνονται πλέον μη ασφαλή (αυτά προέρχονται κυρίως από παλιά λειτουργικά συστήματα και παλιές συσκευές) και να τα αναβαθμίσετε σε νέα. Σε αυτό το άρθρο μπορείτε να βρείτε περισσότερες πληροφορίες.
Επίσης εκτός από τους τους email clients που χρησιμοποιείτε, θα πρέπει να αναβαθμίσετε και όλες τις εφαρμογές, αλλά και τα plugins του site σας που επικοινωνούν με τo mail server (όπως φόρμες επικοινωνίας, SMTP WordPress Authentication κλπ.).
Παρακάτω σας αναφέρουμε κάποιες αλλαγές που θα πρέπει να ορίσετε στα πρωτόκολλα επικοινωνίας IMAP, POP3 & SMTP. (Σε περίπτωση που δεν γνωρίζετε ποιες είναι οι διαφορές μεταξύ τους, σε αυτό το άρθρο μπορείτε να ενημερωθείτε σχετικά.)

 

Για να είναι ασφαλής και κρυπτογραφημένη  η επικοινωνία μεταξύ των χρηστών και του mail server θα πρέπει να γίνεται χρήση ασφαλών θυρών και χρήση SSL/TLS πρωτοκόλλου επικοινωνίας.

Επομένως, σας συστήνουμε να χρησιμοποιείτε:

IMAP
Ασφαλής θύρα: 993, με χρήση SSL/TLS (προτεινόμενο)
Μη ασφαλής θύρα: 143, με χρήση STARTTLS

POP3
Ασφαλής θύρα: 995, με χρήση SSL/TLS (προτεινόμενο)
Μη ασφαλής θύρα: 110, με χρήση STARTTLS

SMTP
Ασφαλής θύρα: 465, με χρήση SSL/TLS (προτεινόμενο)
Ασφαλής θύρα: 587, με χρήση STARTTLS (προτεινόμενο)

Μη ασφαλής θύρα: 25, με χρήση STARTTLS

Σε περίπτωση που για κάποιο λόγο δεν μπορεί να χρησιμοποιηθεί κάποια ασφαλής θύρα από αυτές που προτείνονται παραπάνω (π.χ. λόγω ύπαρξης firewall), τότε ως εναλλακτική λύση μπορείτε να χρησιμοποιήσετε τις default θύρες 143, 110 & 25 κάνοντας χρήση STARTTLS. Με αυτό τον τρόπο αναβαθμίζεται η σύνδεση από μη ασφαλή σε ασφαλή, εάν αυτό υποστηρίζεται από τον client και το server.

ΟΜΩΣ ΠΡΟΣΟΧΗ!
Στα πλαίσια αλλαγών για τη διασφάλιση προστασίας δεδομένων στη mail υπηρεσία, από εδώ και στο εξής στην υποδομή μας το unencrypted login καταργείται και θα είναι αποδεκτό μόνο το encrypted password. Για να το αλλάξετε αυτό στους mail clients, θα πρέπει στις ρυθμίσεις του εκάστοτε email λογαριασμού, να ορίσετε τη μέθοδο πιστοποίησης ή αλλιώς authentication method σε “Encrypted password”.

Δηλαδή, εάν χρησιμοποιήσετε τις default θυρες (143, 110 & 25) και κάνετε χρήση STARTTLS τότε θα πρέπει απαραίτητα στο Authentication method να επιλέξετε “Encrypted password” ώστε, όταν για κάποιο λόγο δεν γίνει encrypted η επικοινωνία, το password να είναι κρυπτογραφημένο για να μην φαίνεται σαν απλό κείμενο (plain text).

Παρακάτω μπορείτε να δείτε σχετικό παράδειγμα ρύθμισης email λογαριασμού στο Thunderbird, όπου γίνεται χρήση μη ασφαλών θυρών 143 (για IMAP) και 25 (για SMTP), STARTTLS και για λόγους ασφαλείας ως Authentication method θα πρέπει να ορίσουμε Encrypted password.
Σε καμία περίπτωση δεν πρέπει στο Authentication να επιλέξετε “Normal Password” ή κάποια άλλη επιλογή εκτός από “Encrypted password”, καθώς με αυτό τον τρόπο το password δεν κρυπογραφείται και μεταφέρεται ως απλό κείμενο. Για την πρόληψη αυτού του ενδεχόμενου, όπως αναφέραμε και παραπάνω, πλέον οι υπόλοιπες μέθοδοι πιστοποίησης δεν είναι αποδεκτές από την υποδομή μας.