Bezpečnější předávání pošty s TLSA záznamy

Root.cz, 20. 11. 2015

Odborný Portál Root.cz se věnoval problematice předávání pošty s tzv. TLSA záznamy. „Současný systém přenosu elektronické pošty pracuje tak, že server oznámí novému klientovi možnost navázat TLS spojení pomocí zprávy STARTTLS. Pokud se klient rozhodne pro šifrování, zahájí se anonymní TLS spojení a pošta se přenese. Pokud ovšem z nějakého důvodu TLS spojení selže, pošta se přenese nešifrovaně. Zároveň se v tomto oportunistickém systému nehledí na vlastnosti certifikátů – vyhoví i slabé šifry, neověřuje se důvěryhodnost vydavatele ba ani platnost. Certifikát je tak vlastně jen zbytečnou obálkou pro veřejný klíč. Pokud bychom chtěli sami přejít na dogmatický systém a vynucovat při odesílání platnost všech zmíněných položek, odeslali bychom jen velmi málo pošty. Jak ukazuje měření Ondřeje Caletky ze sdružení CESNET, čtvrtina SMTP serverů nepodporuje přenos pošty šifrovaným kanálem,“ píše mimo jiné autor textu Petr Krčmář.

Původní článek

Poslední změna: 6.12.2015