SMTP Strict Transport Security, и как сделать мир лучше.


Не зря, как оказалось поминали мы в марте про TLS. Совсем недавно, тихо и мирно, вышел черновик нового, вишнёвого стандарта SMTP Strict Transport Security. Руки чесались про него написать, но старые корабельные друзья все время находили предлог, чтобы этого не случилось. 🙂

Для начала, сорву покровы скажу пару слов о защите транспорта TLS вообще:

Давайте вспомним, что из себя представляет расширение STARTTLS:

TLS

Самая большая проблема STARTTLS заключается в том, что он уязвим для атак и атак на снижение стойкости алгоритмов, поэтому не может гарантировать конфиденциальности и подтверждения проверки подлинности сервера.

Именно поэтому существуют закрытые почтовые системы, гарантирующие подлинность сообщений, передаваемых в них. Хорошим примером будет здесь почтовая система в сфере здравоохранения, или банка. Читать далее

Короткая заметка о TLS


Все думал, стоит ли собрать список ресурсов. дабы их можно было найти, и, как оказалось- стоит. В нашем уютном чатике даже собрались и сели вспоминать, кто какие ссылки знает, и у кого рейтинг по ним толще.

Поэтому, коротко приведу тестеры TLS возможностей для проверки ваших серверов.

http://checktls.com/

https://sslanalyzer.comodoca.com

https://www.ssllabs.com

Еще год назад команда Exchnage в блоге писала о том, что, мол, переходите уже на TLS. Правильные парни, разумеется, перешли еще в 13-м году, поскольку еще тогда не переходить на TLS 1.2 было очень не модно.

Если вам до сих пор страшно, то скажу честно, TLS 1.2 прекрасно работает что в  2010, что в 2013-м Exchange. В 2016 и подавно. Не оставляйте дырки в безопасности серверов. Если вам не нужна совместимость со старыми крипто алгоритмами (а она вряд ли вам нужна)- уберите ее. Нехитрыми и простыми действиями можно доставить очень много неприятностей атакующим, которые только и рассчитывают на бездействие администраторов и их неосведомлённость в вопросах безопасности.