Некоммерческая правозащитная организация Фонд электронных рубежей (Electronic Frontier Foundation, EFF), запустила инициативу STARTTLS Everywhere, которая является своеобразным аналогом проекта Let's Encrypt, учрежденного EFF, Mozilla и Cisco, но для обеспечения безопасности почтовых серверов.
Напомню, что STARTTLS является расширением обычного протокола текстового обмена и позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта. Фактически STARTTLS позволяет двум почтовым серверам, которым нужно обменять корреспонденцией, произвести обмен сертификатами и установить защищенный канал связи. Когда зашифрованный канал готов, почта передается по нему в зашифрованном виде и расшифровывается по прибытии. Доступ к содержимому писем при этом могут иметь только отправитель и реципиент.
И хотя STARTTLS никак нельзя назвать новым (по статистике Google, он используется на 89% всех почтовых серверов в интернете), специалисты EFF с сожалением констатируют, что проблемы с его конфигурацией по-прежнему встречаются очень часто.
«Хотя многие почтовые серверы работают со STARTTLS, большинство по-прежнему не осуществляет валидацию сертификатов», — пишут специалисты.
Это означает, что третья сторона может вмешаться в соединение двух почтовых серверов и воспользоваться подложным сертификатом, выдав себя за отправителя или реципиента, ведь большинство серверов не способно убедиться в аутентичности сертификата. Хуже того, можно также осуществить даунгрейд защищенного канала связи, в результате чего все сообщения будут передаваться не в зашифрованном виде, а в формате простого текста. Изначально эта функция была предусмотрена для случаев, когда один из серверов не поддерживает STARTTLS, но в последние годы ее используют для умышленного даунгрейда защиты соединения с самыми разными целями, включая наблюдение за пользователями, внедрение рекламы и массовую слежку со стороны властей.
Инициатива STARTTLS Everywhere призвана разрешить перечисленные проблемы.
«STARTTLS Everywhere предоставляет системным администраторам специальное ПО, которое можно запустить на почтовом сервере для осуществления автоматической валидации сертификатов проекта Let’s Encrypt. Также данное ПО поможет настроить почтовый сервер таким образом, чтобы тот использовал STARTTLS и предоставлял действительные сертификаты другим почтовым серверам. Наконец, STARTTLS Everywhere включает в себя предварительно загруженный список почтовых серверов, которые обещают поддержку STARTTLS, что поможет отслеживать атаки на даунгрейд соединения. Итоговый результат для сети: более защищенные email'ы и меньше массовой слежки», — гласит официальный сайт STARTTLS Everywhere.
Все подробности о том, как правильно настроить STARTTLS, добавить свой ресурс в «предварительно загруженный список» STARTTLS Everywhere и ответы на другие вопросы можно найти на официальном сайте новой инициативы.
