LINUX.ORG.RU

Правда о StartTLS

 , ,


0

2

Пытаюсь найти убедительные сведение о протоколе StartTLS.
С одной стороны, он новее SSL, вроде защищеннее, и даже «Яндекс рекомендуэ перейти на него».

С другой стороны, в гуглонете полно противоречивых мнений о нем, и вот самое скандальное из них:

Использования StartTLS следует избегать если это возможно.

SSL/TLS при невозможности установить защищенное при помощи шифрования и сертификатов соединение выдадут ошибку,
StartTLS начнет передачу данных в нешифрованном виде.


Полный текст статьи с обзором SSL, TLS и StartTLS здесь - https://server-gu.ru/ssl-tls-starttls/

А как считаете вы, лоровцы, где правда?


  • Исходники есть?
  • Если что, то такое поведение отключить можно, вплоть до удаления соответствующего кода из бинарников?
  • Либы протокола подменить на свои где эта возможность отключена можно или они намертво вшиты в приложение?
torvn77 ★★★★ ()
Последнее исправление: torvn77 (всего исправлений: 2)

А как считаете вы, лоровцы, где правда?

Правда как обычно в RFC, список RFC для StartTLS перечислен в википедии.

он новее SSL

Мне кажется ты путаешь TLS и StartTLS.

sergej ★★★★★ ()

StartTLS начнет передачу данных в нешифрованном виде.

С чего бы? Принимать решение работать дальше или нет будет клиент. Бегло глянул тот сайт - там что ни статья так перлы. Закрой его и больше не открывай.

VinilNavigator ()
Ответ на: комментарий от VinilNavigator

Данный вопрос всплыл из-за того, что на почтовом сервере сменился SSL-сертификат.

А поскольку пользуюсь Sylpheed с протоколами POP3s/995 и SMTPs/465, т.е. c SSL, то Сильфида при получении писем это дело сразу засекла и предложила либо согласиться с новым сертификатом, либо отвергнуть его.
Разумеется, я согласился, и письма стали приходить.

Но это получение писем. А вот с отправкой получилась засада - Сильфида не стала ничего предлагать, а тупо выдает ошибку -

Сбой соединения с сервером SMTP: mail.domain.org:465

Тогда попробовал в учетке сменить SSL на StartTLS - тоже предложило сертификат, согласился с ним, и отправка писем тоже стала уходить нормально.
(c использованием SSL отправка по-прежнему выдает ошибку)

Можно, в принципе, остановиться на StartTLS, раз он работает, но смущает выводы той статьи, и противоречивые мнения по алгоритму его хендшейка - допускает ли он нешифрованные соединения, или все-таки блокирует?

chukcha ★★ ()
Ответ на: комментарий от chukcha

Ничего он не допускает и не принимает решений, клиент решает продолжать работу или нет и никак иначе. Там на том сайте везде полнейший бред буквально в каждой статье. Смущают выводы очень правильно - они там не верные. И не только они.

VinilNavigator ()
Ответ на: комментарий от chukcha

Если установлено использование StartTLS в настройках, то при отсутствии его поддержки на сервере общение с таким сервером будет прекращено с соответствующей ошибкой. Касательно валидности сертификата - все так же как с любыми другими TLS и SSL соединениями.

VinilNavigator ()
Ответ на: комментарий от VinilNavigator

Это радует :) Перехожу на StartTLS.

И пожалуйста, еще один вопросик: в настройках SSL Сильфиды есть одна не слишком удачно переведенная на русский опция, в силу чего никак не могу понять ее смысла -

Неблокирующий режим SSL
Отключите при проблемах подключения SSL

Чтобы она значила? И что означает «отключить ее» - снять галочку, или наоборот, установить ее?


Если бы она называлась «Блокирующий режим», тогда понятно, надо снять.
А не «Неблокирующий», в итоге получается как бы два раза «не», и это сбивает с толку :)

chukcha ★★ ()
Ответ на: комментарий от linuxnewbie

А пример можно? Это же чистой воды баг, когда ты выбираешь один метод а на деле используется другой. Это тоже самое если бы ты в браузере вводил https://example.com а браузер молча чистый http использовал бы.

VinilNavigator ()
Ответ на: комментарий от VinilNavigator

Да-да, именно так. Это они сделали для «удобства», так что не баг. Не помню что за клиент, но помню своё негодование.

браузер молча чистый http использовал бы

А вот это случалось достаточно часто на самом деле, даже если https был поднят и работал. Я не знаю зачем они это делали, экономили процессор наверное. Или криворукие. HTTPS Everywhere обычно выручает.

linuxnewbie ()
Ответ на: комментарий от linuxnewbie

И что в этом плохого? Если тебе везде нужен HTTPS то запрети использование http. Не думал что при использование https можно навертеть так что например с мобилы сайт нельзя будет открыть из-за не поддерживаемых шифров. Сейчас полно бложиков, сайтов воткнувшие let's encrypt и прочих параноидальных штук которые при истечение срока сертификата сайт перестает открываться или браузер сыпет кучу предупреждений. Если клиент сам инициирует передачу в случае неудачного старта шифрования то чем starttls тебе не угодил. В почте обычно письма шифруют через PGP, если нужна безопасность

anonymous ()