オポチュニスティック TLS
オポチュニスティック TLS とは何ですか?
オポチュニスティック TLS双方が対応していれば TLS を使い、そうでなければ平文にフォールバックする暗号化方針。STARTTLS を使うが強い認証のないメールサーバ間で典型的に見られる。
オポチュニスティック TLS は SMTP STARTTLS (RFC 3207) などの既定挙動であり、TLS が望ましいが必須ではない状態を指します。相手が TLS を通知しない、証明書検証に失敗する、ハンドシェイクが失敗するなどの場合、配送維持のために送信者は黙って平文へフォールバックします。受動的盗聴は防げても、STARTTLS の通知を除去したり信頼できない証明書を提示したりする能動的攻撃には対抗できません。MTA-STS (RFC 8461) による強制可能なポリシー、DANE/TLSA (RFC 7672) による DNSSEC ベースの認証、SMTP TLS Reporting (RFC 8460) による可視化、TLS 1.2/1.3 と強い暗号スイートを組み合わせて強化します。
● 例
- 01
外向き MTA がパートナードメインに対し、STARTTLS が成功すれば暗号化、失敗時は平文で配送する。
- 02
Postfix を smtp_tls_security_level=may に設定し、既定のオポチュニスティック方針を採用する例。
● よくある質問
オポチュニスティック TLS とは何ですか?
双方が対応していれば TLS を使い、そうでなければ平文にフォールバックする暗号化方針。STARTTLS を使うが強い認証のないメールサーバ間で典型的に見られる。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
オポチュニスティック TLS とはどういう意味ですか?
双方が対応していれば TLS を使い、そうでなければ平文にフォールバックする暗号化方針。STARTTLS を使うが強い認証のないメールサーバ間で典型的に見られる。
オポチュニスティック TLS からどのように防御しますか?
オポチュニスティック TLS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
オポチュニスティック TLS の別名は何ですか?
一般的な別名: 日和見暗号化, ベストエフォート TLS。