Encontré algo interesante hoy cuando estaba agregando una cuenta a mi cuenta de gmail. ¿Por qué SSL se indica audazmente como recomendado cuando TLS reemplaza a SSL?
Los enlaces para SSL y TLS son los mismos: enlace
Encontré algo interesante hoy cuando estaba agregando una cuenta a mi cuenta de gmail. ¿Por qué SSL se indica audazmente como recomendado cuando TLS reemplaza a SSL?
Los enlaces para SSL y TLS son los mismos: enlace
Desde ese enlace:
Seleccione una conexión segura
Consulte con su otro servicio de correo para obtener el número de puerto y el tipo de autenticación recomendados.
Aquí hay algunas combinaciones comunes:
- SSL con puerto 465
- TLS con puerto 25 o 587
La diferencia, entonces, es que "SSL" significa SMTP sobre SSL-o-TLS en el puerto 465, y "TLS" significa SMTP con STARTTLS en el puerto 25 o 587. Entonces, ¿cuál es la diferencia entre ellos?
STARTTLS es un cifrado oportunista. La conexión comienza como SMTP de texto sin formato, y el cliente intenta iniciar el cifrado si el servidor dice que puede hacerlo. El problema con esto es que la negociación de texto sin formato puede ser retransmitida y modificada por un atacante Man-in-the-Middle, exactamente de la forma en que funciona sslstrip para redirecciones HTTP y enlaces a HTTPS.
SMTP sobre SSL, por otro lado, comienza con una conexión SSL (o TLS, se negocia el protocolo exacto), luego SMTP se realiza a través de ese túnel. Con esta configuración, el cliente siempre espera usar SSL, y no se puede engañar para que se convierta en texto sin formato.
Por lo tanto, la denominación de SSL o TLS no es el problema real. Google está utilizando "SSL" para referirse al estándar anterior "smtps", que en realidad es más seguro en este caso. En realidad, es probable que el servicio esté utilizando TLS, y los servidores de correo de Google negociarán la conexión más segura posible, dependiendo del otro servicio.
EDITAR: Como @Mehrdad señala en los comentarios, Google cambiará la opción "recomendada" según el número de puerto que se seleccione en el menú desplegable. Esto muestra que su recomendación no se basa en una mayor seguridad de cifrado, sino en lo que es más probable que funcione: el puerto 465 está registrado en IANA como 'smtps' y se espera que sea SMTP-sobre-SSL. Los puertos 25 y 587 son 'smtp' y 'submit' respectivamente, y se espera que sean de texto simple. Dado que dudo que Google rechace el envío de correo a través de estos puertos si STARTTLS no se puede negociar, "TLS" sigue siendo la opción más débil y oportunista. Sin embargo, es más probable que sea compatible que el puerto 465.
EDIT 2: @grawity hizo todo lo posible y determinó que, de hecho, Google no recurre al SMTP de texto sin formato si STARTTLS no es compatible. Tiene que seleccionar explícitamente la opción "Sin garantía" al configurar el servidor. Este es un trabajo realmente bueno de Google para garantizar la seguridad del transporte para los correos electrónicos. Por supuesto, todo lo que se ha dicho acerca de STARTTLS sigue siendo cierto: requiere este paso adicional para hacer de TLS un requisito importante para evitar los ataques de baja calificación.