各網絡巨頭正聯手修復STARTTLS安全問題,希望解決其面臨的加密連接降級攻擊威脅。
Amazon、Facebook、谷歌、微軟以及雅虎等多家技術巨頭正努力推進STARTTLS擴展方案——旨在將SMTP上的純文本連接升級為全新加密版本。
不過根據谷歌公司最近發布的研究報告,STARTTLS采用的“機會型加密”機制有可能導致該系統遭受“開放性攻擊”,這意味著即使存在異常狀況,電子郵件仍會以未加密方式發送——此種狀況亦被稱為“純文本”問題。
這一設計原本是為了鼓勵用戶采納STARTTLS。然而研究結果發現,攻擊者能夠輕松利用網絡設備迫使其降級至非加密通道。
舉例來說,突尼斯的研究人員們發現,由當地發往Gmail的全部郵件中有96%處于“純文本”狀態。
目前谷歌、雅虎、Comcast、微軟、領英以及1&1 Mail &Media開發與技術公司正希望通過一項名為SMTP嚴格傳輸安全的IETF建議解決此類問題。
其需要解決的另一個問題則與消息傳輸代理(簡稱MTA)服務器中的驗證機制有關。
其中一項提案要求在交付機制處于非安全狀態時,停止對消息進行交付。具體來講,其要求通過SMTP STS策略記錄允許發送服務檢查收件人的執行策略,并在檢查通過后方執行郵件發送。
“SMTP STS是一種要求郵件服務供應商申報自身接收TLS保護型連接能力的機制,旨在借此聲明具體證書驗證方法并要求SMTP服務器對無法安全交付的情況進行上報并/或拒絕交付消息,”這份建議草案指出。
這份IETF草案已經由各網絡企業于上周五提交,審核日期截止至今年9月19日。
京公網安備 11010502049343號