¿Por qué el TLS para correo electrónico no se inserta agresivamente en los usuarios como HTTPS? [cerrado]

Question

¿Por qué el TLS para correo electrónico no se inserta agresivamente en los usuarios como HTTPS? [cerrado]

#1 de Julian Knight (2 votos)

2

Los principales navegadores, como Chrome y Firefox, son cada vez más agresivos al mostrar el nivel de seguridad de los sitios web, por ejemplo, advirtiéndole cuando intenta ingresar contraseñas en un sitio web que no es HTTPS.

Acabo de ver en GMail que los correos electrónicos de los principales sitios web están realmente firmados y usan TLS (por ejemplo, un correo electrónico de PayPal: "firmado por mail.paypal.fr ") pero tienes que hacer clic en una pequeña flecha para mostrar un menú para ver esto, y está escrito en pequeño sin ningún color.

Bien, para los colores, GMail reserva el verde para S / MIME; Pero aún así, ¿hay alguna razón para no mostrar un "SIGNED by mail.paypal.fr" o "NOT SIGNED" grande visible de inmediato? Esto evitaría una gran cantidad de phishing, ¿verdad? ¿Por qué tanta diferencia con HTTPS?

EDITAR

Bien, supongo que mi pregunta no fue muy clara.

El comentario de @shroeder ( aquí ) lo respondió en parte sin embargo: el envío de correos electrónicos no firmados es el tipo de cosas que quise decir como "empujar agresivo". De nuevo, supongo que no sé lo suficiente sobre la seguridad del correo electrónico porque tengo muchos correos electrónicos en mi correo electrónico donde no hay "firmado por XXX" en la burbuja de "más información", así que creo que es otra firma que se refiere a @shroeder.

Lo siento si mi pregunta no fue bien formulada; es solo que recibí otro correo electrónico de suplantación de identidad (phishing), así que me preguntaba por qué todavía tengo que confiar en mí mismo para identificar un correo electrónico falsificado de uno legítimo en una era en la que todos los sitios web importantes en los que tengo una cuenta tienen HTTPS (para Ya estoy firmando cosas todo el tiempo y mi navegador se enloquecería cuando algo está mal con la firma).

Resulta que no recibí este correo electrónico de phishing en mi cuenta de GMail sino en mi trabajo, en Thunderbird. Así que supongo que mi pregunta "verdadera" sería:

¿Por qué los correos electrónicos de mi empresa no se firman a pesar de tener un sitio web HTTPS? ¿Es mucho más trabajo? ¿Y por qué nunca vi ninguna información en thunderbird sobre el "nivel de seguridad" de los correos electrónicos que recibo? Porque sé que Thunderbird lo muestra cuando un correo electrónico está firmado con PGP, por ejemplo.

En lugar de contar mi historia personal, traté de encontrar una pregunta más "general" y ... bueno, aparentemente no me fue tan bien.

digital-signature tls email user-interface

pregunta Cédric Van Rompay 10.11.2017 - 17:20

fuente

1 respuesta

Lea otras preguntas en las etiquetas digital-signature tls email user-interface

¿El espacio no asignado en mi unidad también está cifrado (encriptación de disco completo)? ¿Las contraseñas de administrador deben estar en una base de datos diferente a las contraseñas normales?

score 2 · Accepted Answer

Hay muchas preguntas incrustadas en tu "pregunta". Intentaré explicar algunos si puedo. También hay mucha confusión aquí entre diferentes aspectos de la seguridad. Ciertamente, parece haber una falacia de que, debido a que una organización tiene un certificado que lo ayuda a asegurar que su sitio web es realmente suyo, eso significa que de alguna manera puede proporcionar seguridad de correo electrónico con él. Eso simplemente no es cierto. Los sitios web y los servicios de correo electrónico son cosas completamente diferentes, que se ejecutan en diferentes servidores y posiblemente en diferentes plataformas. Muy probablemente dirigido por terceros totalmente diferentes.

Hay dos partes separadas para el cifrado de correo electrónico. El correo en sí y el transporte entre sistemas de correo. El primero usa S / MIME o GPG y el último usa TLS (similar a un sitio web).

Si observa definiciones de servicios de correo electrónico seguros, como los gubernamentales. Verá que el cifrado TLS entre servicios de correo es un requisito. Esto es bastante fácil de lograr utilizando, por ejemplo, las reglas de transporte en Exchange. Debido a que normalmente asegura un número limitado de puntos finales, esto es razonablemente fácil de administrar. Lo ideal es que todos los servidores de correo se comuniquen entre sí a través de TLS y se autentiquen mutuamente. Para ello, los certificados públicos de los servidores de correo de cada organización deben compartirse entre sí. De modo que puede ver que incluso esto puede salirse de control muy rápidamente sin una infraestructura de clave pública compleja en su lugar.

Por otro lado, cifrar correos electrónicos individuales es un trabajo aún más difícil. La tecnología es bastante fácil. Otra vez. Es difícil gestionar los certificados y claves. Es por eso que esto rara vez se hace en cualquier lugar como un requisito general. Incluso los gobiernos rara vez cifran los correos electrónicos, excepto la información más confidencial, e incluso así, es más probable que encuentre un archivo adjunto cifrado que un correo electrónico cifrado, ya que los archivos adjuntos se pueden cifrar con una contraseña simple que luego se puede distribuir a través de otro canal.

Ha habido muy poca innovación real en los clientes de correo electrónico durante años. El otro día me puse en contacto con mis contactos de Microsoft al respecto y el cifrado es un área que carece de innovación. Todo el mundo parece estar centrado en otras formas de comunicación: ¿tal vez piensan que el correo electrónico está "listo"? Probablemente, piensan (quizás con razón) que no hay dinero en ello. Esa es una de las razones por las que no está obteniendo lo que desea.

¿Otras razones provienen de cómo calcularía el "nivel" de seguridad? Esa no es una pregunta fácil y será diferente para cada persona, organización, sistema de correo, clasificación de contenido y más. A menos que algunas partes propongan un estándar acordado, es poco probable que esto pueda suceder.

Sin embargo, también hay una tercera área que tiene un impacto en sus preguntas y que está directamente relacionada con el control de al menos algunas formas de phishing, a saber, los correos electrónicos que parecen provenir de un servicio legítimo pero en realidad no lo hacen. Para eso, hay una serie de estándares que trabajan juntos: SPF, DKIM y DMARC. Todos los servicios de correo deben tener definiciones para estos (están almacenados en su DNS). Permiten a los servicios de correo verificar si un correo electrónico entrante proviene realmente de un servidor de correo autorizado. Esto está ganando terreno en los servicios de correo, pero no siempre se aplica hasta ahora.

La conclusión es que las firmas criptográficas en los correos electrónicos son difíciles debido a la necesidad de administrar el acceso a millones de certificados que permiten la verificación de las firmas. Sin embargo, se proporciona una medida de seguridad a nivel de servidor al requerir la validación de los servidores de envío, lo que al menos garantiza que el correo electrónico provino del servicio correcto, que supongo es lo que GMail está haciendo en realidad. Esto generalmente no se expone en los clientes de correo, ya que hay muy poco desarrollo e innovación en esa área (Google es una excepción). Pero, por otro lado, si un servicio de correo aplica SPF / DKIM / DMARC, no necesitaría ver un indicador, ya que solo el correo de los servidores verificados se enviaría, aunque eso aún podría permitir el envío de correo no deseado, pero no desde orígenes falsos.