Ingeniører fra teknologifirmaerne Google, Microsoft, Yahoo, Comcast, LinkedIn and 1&1 Mail & Media Development & Technology er gået sammen om et forslag til en ny standard for e-mail, der skal afløse den forældede Simple Mail Transfer Protocol (SMTP).
Det skriver teknologimediet The Next Web.
Læs også: Tech-giganter ruster sig til krypto-krig
Den nye standard kaldet SMTP STS (Strict Transport Security) er indsendt som forslag til Internet Engineering Task Force (IETF). Hele udkastet kan læses her.
Den grundlæggende idé bag SMTP STS er, at når der sendes en e-mail til et domæne, der understøtter SMTP STS, vil afsenderen automatisk tjekke, om destinationen understøtter kryptering og hvorvidt deres certifikat er validt.
Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres.
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.
"Først hvis disse betingelser er opfyldt, vil selve e-mailen blive afsendt. Hvis modtageren ikke har styr på kryptering og certifikater, får afsenderen i stedet besked om, hvorfor e-mailen ikke kunne leveres."
Så kunne du få en mail i den gamle version, med besked om at der var mail, og en måde hvorpå du kunne modtage det. Så have du 24 timer inden mailen, "løb ud" til at få opdateret og hentet mail ?
De argumenterer med at problemet ikke er særligt stort og kommer så med et løsningsforslag, hmmm.
While such "opportunistic" encryption protocols provide a high
barrier against passive man-in-the-middle traffic interception, any
attacker who can delete parts of the SMTP session (such as the "250
STARTTLS" response) or who can redirect the entire SMTP session
(perhaps by overwriting the resolved MX record of the delivery
domain) can perform such a downgrade or interception attack.
Er der nogen som har data på problemets størrelse?
Det lugter langt væk af at udelukke små mailservere med selvunderskrevne ssl certificater og lign.
Svaret står i abstract i forslaget:
SMTP STS is a mechanism enabling mail service providers to declare their ability to receive TLS-secured connections, to declare particular methods for certificate validation, and to request sending SMTP servers to report upon and/or refuse to deliver messages that cannot be delivered securely.
Jeg synes at det lyder fornuftigt at afsender får lejlighed til at lade være med at sende hvis sikkerheden mangler.
Version2 er en del af Jobfinder - Danmarks største job- og karrieresite for ingeniører og it-professionelle.
