TLS oportunista
O que é TLS oportunista?
TLS oportunistaPostura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
O TLS oportunista é o comportamento por defeito do SMTP STARTTLS (RFC 3207) e de protocolos similares: o TLS é preferido mas não obrigatório. Se o par não anunciar TLS, a validação do certificado falhar ou o handshake der erro, o remetente tenta silenciosamente em texto-claro para preservar a entrega. Protege contra escutas passivas, mas não contra atacantes ativos, que podem remover o anúncio STARTTLS, apresentar certificados não confiáveis ou forçar downgrade. Para reforçar, implementa-se MTA-STS (RFC 8461) como política aplicável, DANE/TLSA (RFC 7672) ancorado em DNSSEC, SMTP TLS Reporting (RFC 8460) para visibilidade e TLS 1.2/1.3 com cifras robustas.
● Exemplos
- 01
Um MTA cifra o e-mail para um domínio parceiro quando STARTTLS funciona, mas recorre a texto-claro se o handshake falhar.
- 02
Postfix com smtp_tls_security_level=may, ilustrando a postura oportunista por defeito.
● Perguntas frequentes
O que é TLS oportunista?
Postura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte. Pertence à categoria Segurança de rede da cibersegurança.
O que significa TLS oportunista?
Postura de cifragem em que duas partes usam TLS quando ambas suportam e recorrem a texto-claro caso contrário, típica de SMTP entre servidores com STARTTLS sem autenticação forte.
Como se defender contra TLS oportunista?
As defesas contra TLS oportunista costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para TLS oportunista?
Nomes alternativos comuns: Cifragem oportunista, TLS best-effort.