¿Con qué frecuencia los proveedores de correo electrónico utilizan SSL / TLS o S / MIME?

TL; DR : sin el cifrado de extremo a extremo, como S / MIME o PGP, que sea soportado y utilizado por el remitente y , es justo presunción de que su correo electrónico ha sido transmitido o almacenado de forma clara, o de otro modo legible por un tercero, en algún momento.

Creo que tienes algunos conceptos erróneos de lo que son S / MIME y SSL / TLS, o cómo funcionan.

S / MIME es un mecanismo para proporcionar seguridad de mensajes de extremo a extremo . El cifrado, la firma digital, el descifrado y la verificación de la firma se realizan en los puntos finales mediante el software de cliente . Los servidores de correo electrónico y los proveedores de servicios intermedios no tienen nada que ver con esto, ya que los mensajes se transmiten como cualquier otro. Además, y quizás lo más importante, S / MIME debe ser compatible con los clientes que envían y reciben para que funcione. Esto está más allá de la capacidad de cualquier proveedor de correo electrónico único para garantizar.

Dicho esto, no conozco ningún proveedor común de correo gratuito (es decir, GMail, Yahoo, Hotmail) que actualmente esté facilitando S / MIME en sus clientes basados en navegador. Ciertamente, ninguno de ellos es, ni querría serlo, habilitándolo como predeterminado.

La razón por la que esto no puede funcionar a nivel de proveedor de servicios es debido al requisito de que ambos clientes de punto final admitan el protocolo. Dado que el proveedor de servicios del remitente no tiene control sobre el software cliente utilizado por el destinatario, imponer el uso de S / MIME en los mensajes salientes podría hacer que muchos destinatarios (si no la mayoría) no puedan leer los correos electrónicos del remitente.

Las únicas condiciones bajo las cuales funcionará S / MIME son cuando todos los participantes en la conversación de correo electrónico tienen clientes compatibles con S / MIME, y todos tienen (y han verificado) las claves públicas de cada uno. Nuevamente, esto no es algo que pueda afectar a ningún proveedor de servicios de correo electrónico individual. Posiblemente puedan facilitar esto entre sus propios usuarios, pero no tienen el mismo poder para proteger los correos electrónicos que van a / desde puntos finales externos.

SSL / TLS son tecnologías comúnmente utilizadas para asegurar las comunicaciones entre clientes y servidores y de servidor a servidor. Sin embargo, aquí nos encontramos nuevamente en una situación similar a la de S / MIME: ambas partes de la conversación deben apoyarlo. Si bien algunos proveedores de servicios pueden hacer esto, ningún proveedor de servicios puede garantizarle que se aplicará SSL / TLS a cada mensaje que envíe, ya que no tienen control sobre lo que el servidor receptor está configurado para admitir.

Para abordar sus inquietudes de manera más concisa, punto por punto:

1. Ninguno de los anteriores utiliza S / MIME. Si bien sería una buena característica para ellos admitir en sus clientes web, sería imposible para ellos garantizar que funcionará para todos los destinatarios. Puede solucionar esto hasta cierto punto usando su propio cliente de correo electrónico con soporte de S / MIME, en lugar de usar las interfaces web. Sin embargo, una vez más, esto solo funcionará cuando hayas coordinado esto con tus destinatarios.

2. SSL / TLS se usa comúnmente para proteger las sesiones web por las que se componen los correos electrónicos y las conexiones de clientes por las que se envían. También se usa para proteger las comunicaciones de servidor a servidor en el camino, pero ningún proveedor de servicios puede garantizar que los servidores o el cliente de correo electrónico de cada destinatario admitirán y mantendrán esa protección en el camino.

3. Muchos proveedores usan SSL / TLS, pero usted debería consultar con el suyo si está preocupado. Sin embargo, una vez más, esto no puede garantizar que su correo electrónico esté protegido mediante la transmisión y el almacenamiento en cada paso del camino a cada destinatario.

4. Siempre que esté enviando / recibiendo correo electrónico que no esté protegido por S / MIME, PGP o una solución de cifrado de extremo a extremo similar, debe asumir que el mensaje se ha transmitido o almacenado en El claro, o en otra forma legible por un tercero, en alguna parte .

El último punto toca un problema que aún no he resuelto: el almacenamiento de correo electrónico en el servidor. Todos los proveedores de servicios de correo electrónico, por la naturaleza de su servicio, deben almacenar los correos electrónicos exactamente como se recibieron o mediante el uso de algún tipo de cifrado que ellos mismos puedan revertir. De lo contrario, no podrán reenviar el correo electrónico en un formato legible a otros o mostrarlo en su navegador web. Si no está utilizando el cifrado de extremo a extremo, eso significa que su correo electrónico se está almacenando de manera efectiva. Esto lo deja vulnerable a personas malintencionadas o cualquier persona que logre piratear su cuenta de correo electrónico o la base de datos del servidor.

1. No
2. SSL se usa pero no como reemplazo de S / MIME
3. Gmail, Yahoo y Hotmail le permiten acceder a su correo electrónico a través de SSL. Y de manera similar, enviará correos electrónicos utilizando SSL, pero solo cuando sea posible . Es difícil decir si todos los proveedores lo hacen.
4. Bastante siempre . Es muy difícil garantizar la seguridad con estos proveedores sin usar algo como PGP. Seguro que si envías de Gmail a Gmail, es muy probable que sea seguro pero no hay garantía .

2 SSL se usa de dos maneras y si bien los proveedores parecen ser bastante consistentes en su uso para las comunicaciones de servidor a cliente, varían al usarlo para la comunicación de servidor a servidor.

Hice algunas pruebas y, si bien Gmail y Yahoo usan el cifrado si ambas partes lo admiten, Hotmail nunca lo usa para las comunicaciones de servidor a servidor. Esto significa que la comunicación entre Hotmail y otros proveedores de Internet está siempre en texto claro

1) En general, Gmail, Yahoo, etc. no son compatibles con S / MIME cuando se utiliza su cliente de correo electrónico basado en la web (es decir, en www.gmail.com). Si desea utilizar S / MIME con estos servicios, debe utilizar un cliente de correo electrónico de terceros (es decir, Mozilla Thunderbird, MS Outlook, etc.) y tener una forma de administrar y distribuir sus claves públicas y privadas. La razón por la que no es fácil usar S / MIME con Gmail, etc., es porque la fuente principal de ingresos para estas empresas es la publicidad dirigida. La fuente principal de información utilizada para orientar esa publicidad es el contenido de sus correos electrónicos. Si le facilitan el uso de S / MIME para el cifrado de extremo a extremo (para que ya no puedan escanear sus correos electrónicos), reduce su principal fuente de ingresos (información sobre usted).

2) Sí, pero tenga en cuenta que la protección suele ser parcial o incompleta. El hecho de que el proveedor de servicios de correo electrónico le permita conectarse a través de SSL / TLS no significa que admitan conexiones SSL / TLS con otros proveedores de servicios de correo electrónico. Ver 4) abajo.

3) No , ~ 50% de los correos electrónicos viajan a través de proveedores que no son compatibles con SSL / TLS. Creo que AOL solo comenzó a admitir conexiones SSL / TLS en 2014 (a través de su cliente de correo electrónico basado en la web). Ver 4) abajo.

4) En condiciones comunes, los correos electrónicos no son seguros por varias razones. Primero, el proveedor de correo electrónico está escaneando los correos electrónicos entrantes y salientes para proporcionar publicidad dirigida. En segundo lugar, ~ 50% del tiempo las conexiones entre los distintos proveedores de servicios de correo electrónico no son compatibles con ningún cifrado, por lo que los correos electrónicos que viajan entre estos proveedores deben enviarse como texto sin formato. No tiene capacidad para controlar este proceso porque es la conexión entre los proveedores. Por ejemplo, si envía un correo electrónico desde su cuenta de Gmail a un amigo con una cuenta de Yahoo, el correo electrónico debe ser transmitido desde los servidores de Google a los servidores de Yahoo. La seguridad de esa conexión depende de la disposición de Google y Yahoo para trabajar juntos. Creo que Google y Yahoo solo recientemente comenzaron a admitir conexiones cifradas entre sí. Google publicó algunos datos sobre esto en junio (2014). Puede leer los detalles aquí: enlace

  

¿Con qué frecuencia los proveedores de correo electrónico utilizan SSL / TLS?

Google proporciona algunas estadísticas excelentes y actualizadas sobre dominios que usan TLS para cifrar el correo electrónico entre saltos.

enlace