Оппортунистический TLS
Что такое Оппортунистический TLS?
Оппортунистический TLSПодход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации.
Оппортунистический TLS — поведение по умолчанию для SMTP STARTTLS (RFC 3207) и аналогичных протоколов: TLS предпочтителен, но не обязателен. Если партнёр не объявляет TLS, не проходит проверка сертификата или сбой рукопожатия, отправитель молча возвращается к открытому тексту, чтобы доставить письмо. Это защищает от пассивного прослушивания, но не от активного атакующего, способного вырезать объявление STARTTLS, подменить сертификат или понизить шифры. Для усиления применяют MTA-STS (RFC 8461), DANE/TLSA (RFC 7672), SMTP TLS Reporting (RFC 8460) и TLS 1.2/1.3 с сильными наборами шифров.
● Примеры
- 01
Исходящий MTA шифрует письма к домену-партнёру, если STARTTLS работает, и возвращается к открытому тексту при сбое рукопожатия.
- 02
Postfix с smtp_tls_security_level=may демонстрирует оппортунистическую политику по умолчанию.
● Частые вопросы
Что такое Оппортунистический TLS?
Подход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Оппортунистический TLS?
Подход к шифрованию, при котором обе стороны используют TLS, если поддерживают его, и переходят к открытому тексту в противном случае; типичен для SMTP между серверами с STARTTLS без строгой аутентификации.
Как защититься от Оппортунистический TLS?
Защита от Оппортунистический TLS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Оппортунистический TLS?
Распространённые альтернативные названия: Оппортунистическое шифрование, Best-effort TLS.