各网络巨头正联手修复STARTTLS安全问题,希望解决其面临的加密连接降级攻击威胁。
Amazon、Facebook、谷歌、微软以及雅虎等多家技术巨头正努力推进STARTTLS扩展方案——旨在将SMTP上的纯文本连接升级为全新加密版本。
不过根据谷歌公司较近发布的研究报告,STARTTLS采用的“机会型加密”机制有可能导致该系统遭受“开放性攻击”,这意味着即使存在异常状况,电子邮件仍会以未加密方式发送——此种状况亦被称为“纯文本”问题。
这一设计原本是为了鼓励用户采纳STARTTLS。然而研究结果发现,攻击者能够轻松利用网络设备迫使其降级至非加密通道。
举例来说,突尼斯的研究人员们发现,由当地发往Gmail的全部邮件中有96%处于“纯文本”状态。
目前谷歌、雅虎、Comcast、微软、领英以及1&1 Mail & Media开发与技术公司正希望通过一项名为SMTP严格传输安全的IETF建议解决此类问题。
其需要解决的另一个问题则与消息传输代理(简称MTA)服务器中的验证机制有关。
其中一项提案要求在交付机制处于非安全状态时,停止对消息进行交付。具体来讲,其要求通过SMTP STS策略记录允许发送服务检查收件人的执行策略,并在检查通过后方执行邮件发送。
“SMTP STS是一种要求邮件服务供应商申报自身接收TLS保护型连接能力的机制,旨在借此声明具体证书验证方法并要求SMTP服务器对无法安全交付的情况进行上报并/或拒绝交付消息,”这份建议草案指出。
这份IETF草案已经由各网络企业于上周五提交,审核日期截止至今年9月19日。
