您可能听说过 SSL 和 TLS 这两个术语,但是您知道它们是什么以及它们之间的区别吗?
SSL(安全套接字层)和 TLS(传输层安全性)是保护(加密)邮件客户端和邮件服务器(例如 Outlook 和 MDaemon)之间或邮件服务器(例如 MDaemon 和另一个邮件服务器)之间的连接的方法。它们也是确保网站和浏览器之间通信安全的方法。在本文中,我们将重点介绍其在加密电子邮件连接中的用途。
如果没有 SSL 或 TLS,则邮件客户端和服务器之间发送的数据将以纯文本格式发送。这有可能使您的企业更容易泄露机密信息,凭据被盗,或者账户被用于发送垃圾邮件。SSL 和 TLS 可用于帮助您保护这些数据。SSL 和 TLS 允许用户通过电子邮件安全地传输敏感信息,例如社会保险号、信用卡号或医疗信息。
SSL 和 TLS 的工作方式
为了使用 SSL 或 TLS,您需要使用 SSL 证书才能建立 SSL/TLS 连接。SSL 证书使用密钥对(公用密钥和专用密钥)建立安全连接。如果邮件客户端或服务器要使用 SSL 连接到另一台服务器,则使用所谓的“SSL 握手”来建立 SSL 连接。在此过程中,将使用三个密钥来建立 SSL 连接——公共密钥、私有密钥和会话密钥。用公钥加密的数据只能用相应的私钥解密,反之亦然。通过公钥和私钥进行的加密仅在“SSL 握手”期间创建对称会话密钥。建立安全连接后,将使用会话密钥对所有传输的数据进行加密。
SSL 和 TLS 都通过动态数据加密来保护数据隐私,为通信通道提供服务器端和(可选)客户端加密,并有助于确保邮件的完整性。
POP、IMAP 和 SMTP 通信通过指定的端口传输。默认情况下,IMAP 使用 143 端口,POP 使用 110 端口,SMTP 使用 25 端口。基于 SSL/TLS 的 IMAP 使用 993 端口。基于 SSL/TLS 的 POP 使用 995 端口,基于 SSL/TLS 的 SMTP 使用 465 端口。如果发生这些连接类型,则必须将邮件客户端和邮件服务器都配置为使用正确的端口,并且必须在服务器上安装有效的 SSL 证书。
SSL 和 TLS 有什么区别?
那么 SSL 和 TLS 有什么区别?TLS 是 SSL 的后继产品。它是在 1999 年作为对 SSL 3.0 的升级版而引入的,因此 TLS 1.0 与 SSL 3.0 最相似,有时也称为 SSL 3.1,尽管 TLS 与 SSL 3.0 不兼容。SSL 的版本号为 1.0、2.0 和 3.0,而 TLS 使用不同的编号模式:-1.0、1.1、1.2。
由于 TLS 与 SSL 3.0 不兼容,因此客户端和服务器必须就使用哪种协议达成一致。这是通过所谓的“握手”完成的。如果无法使用 TLS,则连接可能会退回到 SSL 3.0。
没有太多技术含量(有很多在线资源可以解释 SSL 和 TLS 之间的技术差异),以下是 SSL 和 TLS 之间的一些差异:
TLS 具有更多的警报描述——SSL 或 TLS 连接遇到问题时,遇到问题的一方将发送警报消息。
SSL 具有以下 12 条警报消息:
√ 关闭通知
√ 意外消息
√ 坏记录 MAC
√ 解压失败
√ 握手失败
√ 无证书
√ 坏证书
√ 不支持的证书
√ 证书被吊销
√ 证书已过期
√ 证书未知
√ 非法参数
TLS 具有以下额外的警报消息:
√ 解密失败
√ 记录溢出
√ 未知的 CA(证书颁发机构)
√ 访问被拒
√ 解码错误
√ 解密错误
√ 导出限制
√ 协议版本
√ 安全性不足
√ 内部错误
√ 用户已取消
√ 无重新谈判
√ 不支持的扩展
√ 证书无法获取
√ 无法识别的名称
√ 坏证书状态响应
√ 坏证书哈希值
√ 未知的 PSK
√ 无应用协议
TLS 使用 HMAC 进行邮件的身份验证——SSL 使用借助 MD5 或 SHA 的身份验证代码(MAC)来验证邮件的完整性(确定邮件是否已更改)。另一方面,TLS 使用 HMAC,使其可以与更多的哈希函数一起使用——不仅是 MD5 和 SHA。
TLS 使用一套不同的密码。
基本上,密码套件是用于协商网络连接安全设置的身份验证、加密、邮件验证代码(MAC)和密钥交换算法的组合。可以在此处找到更多信息:https://en.wikipedia.org/wiki/Cipher_suite
SSL 和 TLS 重要吗?
企业有责任保护财务数据(例如信用卡信息)和消费者记录(例如姓名、地址、话号码和医疗信息)。如果没有某种形式的加密,无论是通过使用 SSL 和 TLS 的加密连接,还是通过使用 Virtru 或 OpenPGP 加密消息本身,敏感数据都可能容易受到黑客和其他形式的未授权访问的攻击。
推荐使用哪种方法?
众所周知,SSL 3.0 存在一个称为 POODLE 的漏洞。点击此处来全面了解此漏洞和建议的操作:https://www.openssl.org/~bodo/ssl-poodle.pdf。概述中建议的一种解决方案是完全禁用邮件客户端和服务器上的 SSL 3.0 协议。这可能不切实际,因为它可能会影响仍在使用 SSL 3.0 的旧系统。
我们建议尽可能使用 TLS。TLS 1.2 是目前推荐的安全性版本,但尚未得到普遍支持。直到 2009 年,Windows 7 和 Server 2008 R2 才添加 TLS 1.1+ 支持。
MDaemon 和 SecurityGateway 使用的加密协议和密码取决于操作系统,可以通过注册表进行配置。您可以使用免费的 IIS 加密工具来设置适当的注册表项。更多信息可以在这里找到: https://www.nartac.com/Products/IISCrypto
我希望这些信息有助于弄清有关 SSL 和 TLS 的任何问题,以及推荐使用哪种加密方法。与往常一样,如果您有任何疑问或意见,请告诉我们!
具体详情请联系相关工作人员。 联系电话:021-52400630,021-52400611