TLS oportunista
¿Qué es TLS oportunista?
TLS oportunistaPostura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte.
El TLS oportunista es el comportamiento por defecto de SMTP STARTTLS (RFC 3207) y protocolos similares: se prefiere TLS pero no es obligatorio. Si el otro extremo no anuncia TLS, falla la validación del certificado o el handshake, el emisor reintenta silenciosamente en claro para preservar la entrega. Protege frente a escucha pasiva pero no frente a atacantes activos, que pueden retirar el anuncio STARTTLS, presentar certificados no confiables o degradar cifrados. Para reforzarlo se despliegan MTA-STS (RFC 8461) como política exigible, DANE/TLSA (RFC 7672) anclado en DNSSEC, SMTP TLS Reporting (RFC 8460) para visibilidad y TLS 1.2/1.3 con suites robustas.
● Ejemplos
- 01
Un MTA cifra el correo a un dominio asociado cuando STARTTLS funciona, pero envía en claro si el handshake falla.
- 02
Postfix configurado con smtp_tls_security_level=may, que ilustra la postura oportunista por defecto.
● Preguntas frecuentes
¿Qué es TLS oportunista?
Postura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa TLS oportunista?
Postura de cifrado en la que dos partes usan TLS si ambas lo soportan y caen a texto claro si no, típica de SMTP entre servidores mediante STARTTLS sin autenticación fuerte.
¿Cómo defenderse de TLS oportunista?
Las defensas contra TLS oportunista combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para TLS oportunista?
Nombres alternativos comunes: Cifrado oportunista, TLS de mejor esfuerzo.