5 votes

Foo Bar avatar

Thunderbird : SSL/TLS et STARTTLS

Demandé el 17 de Juillet, 2013
Quand la question a-t-elle été
7131 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

A la question de ServerFault " STARTTLS est-il plus sûr que TLS/SSL ? " il est apparu que la question porte en réalité sur Thunderbird plutôt que sur les protocoles réels. En outre, si vous effectuez une recherche sur ce sujet sur Google, vous trouverez de nombreuses réponses différentes se contredisant les unes les autres.

Thunderbird (je parle de la version 17 actuelle, mais c'est comme ça depuis la version 3) propose trois méthodes de cryptage des transferts, dans le dialogue de configuration :

  • Aucun
  • SSL/TLS
  • STARTTLS

Et dans Thunderbird antes de version 3, il y avait ces options :

  • Aucun
  • SSL
  • TLS
  • TLS, si disponible

Avec Thunderbird version 3, l'option "SSL" a été renommée en "SSL/TLS", et les deux dernières options ont été fusionnées et renommées en "STARTTLS". STARTTLS est devenu l'option de configuration par défaut.

Cependant, selon cette question et cette réponse Lors de l'utilisation de STARTTLS, Thunderbird pouvait revenir à un transfert en texte clair sans m'en avertir !

Mes questions sont les suivantes :

  1. Thunderbird peut-il vraiment revenir au transfert en clair sans me le dire, et établir quand même la connexion (ce qui serait un risque pour la sécurité) ?
  2. Quelles versions de SSL, TLS et STARTTLS Thunderbird prend-il en charge ?
  3. Existe-t-il un indicateur dans Thunderbird pour montrer quelle méthode de cryptage (protocole et version) est réellement utilisée ?
  4. Existe-t-il un moyen de forcer Thunderbird à utiliser TLS et, si le serveur ne le supporte pas, à ne pas se connecter du tout ? (L'option "SSL/TLS" semble ne pas pouvoir gérer TLS (je l'ai essayée), et STARTTLS qui peut faire TLS peut avoir le risque de sécurité "silent fall back").
Demandé el 17 de Juillet, 2013 par Foo Bar

Réponses

Trop de publicités?

2voto

Bruno avatar
Bruno Points 598

SMTPS+STARTTLS (SSL/TLS explicite) et SMTPS (SSL/TLS implicite) sont aussi sûrs l'un que l'autre, à condition que votre client de messagerie soit correctement implémenté et qu'il ne vous permette pas de rétrograder automatiquement si SSL/TLS n'est pas disponible.

Essentiellement, un client de messagerie bien implémenté et configuré pour utiliser STARTTLS devrait simplement échouer s'il ne parvient pas à utiliser STARTTLS et établir cette connexion SSL/TLS (de la même manière qu'il devrait échouer s'il ne parvient pas à établir d'abord la connexion SSL/TLS pour SMTPS). En particulier, il doit échouer antes de envoyer les informations d'identification de l'utilisateur, le cas échéant.

  1. Vous avez raison, Thunderbird disposait autrefois d'une option permettant de laisser sa connexion se dégrader (un peu comme une attaque via sslstrip dans HTTP/HTTPS). Heureusement, cette option a été supprimée en 2010 (cf. cette question ).
  2. Thunderbird prend en charge SSLv3, TLSv1.0, 1.1 et 1.2. (Notez qu'il n'est pas vraiment judicieux de mettre SSL, TLS et STARTTLS dans le même sac, cf. cette question sur Server Fault .) Vous pouvez être intéressé par le security.ssl.version.* options (dans les options avancées) pour choisir certaines versions. (En général, les security.ssl* peuvent également présenter un intérêt.
  3. Je ne connais pas de moyen de le voir, à part utiliser quelque chose comme Wireshark pour regarder la connexion réelle.
  4. Oui, c'était déjà le cas avant cela a été corrigé pour autant que vous n'ayez pas utilisé l'option "si disponible".
Répondu el 28 de Novembre, 2014 par Bruno (598 Points )

1voto

Jilesh P. avatar
Jilesh P. Points 1
  1. C'est possible. Selon le spécification :

2.3. Exigences relatives aux mots de passe en clair

Les clients et les serveurs qui mettent en œuvre STARTTLS DOIVENT être configurables. pour refuser toutes les commandes ou mécanismes de connexion en texte clair (y compris les les mécanismes standard et non standard) à moins qu'une couche de qu'une couche de chiffrement d'une puissance adéquate soit active.

Il DOIT donc y avoir une case à cocher qui restreindrait spécifiquement la connexion en texte brut. Mais il n'y en a pas. Je suppose que c'est un comportement par défaut dans Thunderbird, mais je n'en suis pas sûr, donc nous pouvons nous y attendre.

  1. Je suppose qu'il prend en charge toutes les principales versions utilisées. SSL est obsolète et est lentement remplacé par TLS. Cependant, contrairement à son nom, STARTTLS peut utiliser SSL comme protocole d'encodage, tout dépend des protocoles supportés par le serveur.

  2. Je ne connais pas cette possibilité.

  3. Je pense que 1) répond aussi à cette question (c'est-à-dire que vous ne pouvez pas le forcer, mais c'est très probablement le comportement par défaut). Remarque : "SSL/TLS" et "STARTTLS" ne sont pas des protocoles interopérables (c'est pourquoi ils utilisent des ports différents).

Répondu el 31 de Juillet, 2013 par Jilesh P. (1 Points )

0voto

Nima avatar
Nima Points 1

Cependant, une spécification RFC précise que SI starttls échoue, il doit envoyer du courrier non crypté. Ainsi, si vous ne voulez pas que le courrier non crypté soit envoyé, il vaut mieux utiliser le tls forcé. Lorsque les attaques de downgrade ne sont pas possibles et/ou qu'il est spécifié que starttls doit no envoyer en clair, alors très bien cela équivaut à ce que vous appelez ssl/tls ci-dessus. Jusque là, appliquez la loi !

Répondu el 8 de Mars, 2015 par Nima (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X