STARTTLS

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

STARTTLS, StartTLS oder auch (veraltet) als STARTSSL bzw. StartSSL bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security (TLS).

E-Mail[Bearbeiten]

Beim Simple Mail Transfer Protocol (SMTP) zeigt ein Server durch die Antwort STARTTLS an, dass die weitere Kommunikation aus seiner Sicht verschlüsselt erfolgen kann. Dieser Mechanismus wurde kurz darauf auch für das Internet Message Access Protocol (IMAP) und für das Post Office Protocol (POP) spezifiziert, bei letzterem mit dem abweichenden Schlüsselwort STLS.

Bei einer älteren Methode zur Einleitung der Verschlüsselung einer Verbindung zwischen Mailprogramm (Client) und Mailserver setzt diese Verhandlung bereits beim Verbindungsaufbau ein, indem die entsprechenden Ports angesprochen werden. In den Beispielen für Standardports kennzeichnet das jeweilige S hinter den Protokollbezeichnungen die abgesicherte Variante:

  • SMTP auf Port 25 bzw. 587 und SMTPS auf Port 465
  • IMAP auf Port 143 und IMAPS auf Port 993
  • POP3 auf Port 110 und POP3S auf Port 995

Im Gegensatz dazu beginnt eine Verbindung bei dem STARTTLS-Verfahren immer unverschlüsselt auf dem für Klartext vorgesehenen Port. Nach Eingabe des STARTTLS-Befehls wird eine Verschlüsselung ausgehandelt. Diese Verschlüsselung findet dann in der gleichen Verbindung statt, es wird keine neue Verbindung aufgebaut. Ein essentieller Vorteil hierbei ist die Tatsache, dass die Peers, also die Verbindungspartner, die technischen Fähigkeiten beiderseits aushandeln können. Wird auf einem dedizierten SSL-Port eine Klartextverbindung aufgebaut, kommt es zwangsläufig zum Abbruch, in umgekehrter Kombination ebenso. Der Nutzer oder ein Admin muss nun eingreifen. Dank STARTTLS kann zum Beispiel der Client (ohne Nutzereingriff) wahrnehmen, dass der Server die Erweiterung bietet und automatisch Gebrauch davon machen. Im Alternativfall müsste der Client erst den dedizierten Port kontaktieren, auf den Fristablauf warten und danach den Port für unverschlüsselte Kommunikation testen.

Ein essentieller Nachteil ist jedoch die Tatsache, dass beim Firewalling eine Analyse auf Anwendungsschicht nötig wird, um verschlüsselte und unverschlüsselte Verbindungen zu unterscheiden. Ähnliches trifft auf Proxys zu, die zwar auf Applikationsebene arbeiten, aber über die Portunterscheidung sehr viel leichter und schneller darüber entscheiden können, ob ein Caching ausgeführt werden soll.

Ein weiterer Nachteil gegenüber SSL rührt von der Tatsache her, dass die meisten E-Mail-Programme in der Standardeinstellung 'TLS wenn möglich' verwenden und es für den Nutzer nicht sichtbar ist, wenn die Verbindung zum Mailserver nicht (mehr) verschlüsselt ist. Zudem können Dritte, die Zugriff auf den Netzwerkverkehr haben, das STARTTLS Kommando filtern und so den – dann unverschlüsselten – Mail-Verkehr unbemerkt mitlesen, wie im Dezember 2008 beim Mobilfunk-Provider O2 geschehen.[1]

Im RFC 2595, in dem STARTTLS für POP3, IMAP und ACAP spezifiziert wurde, wird von der älteren Verfahrensweise mit separaten Ports für TLS abgeraten. STARTTLS kann jedoch nicht verhindern, dass eine Client-Software, die STARTTLS nicht kennt, die Login-Daten im Klartext sendet (siehe Kapitel 9 von RFC 2595). Bei der Verwendung der dedizierten Ports für TLS ist dies ausgeschlossen. Die dedizierten Ports für POP3 und IMAP mit TLS sind weiterhin bei der Internet Assigned Numbers Authority registriert.[2]

HTTP[Bearbeiten]

Für HTTP gibt es mit RFC 2817 ein zu STARTTLS vergleichbares Verfahren, um TLS-Verbindungen aufzubauen. Üblicherweise wird hier aber HTTPS nach RFC 2818 verwendet.

LDAP[Bearbeiten]

Auch bei LDAP (RFC 4511) kann Mithilfe des STARTTLS-Kommandos die Verschlüsselung initiiert werden.

Quellen[Bearbeiten]

  1. Eingriff in E-Mail-Verschlüsselung durch Mobilfunknetz von O2. Heise Verlag. 7. Februar 2014. Abgerufen am 7. Februar 2014.
  2. Port Numbers. Internet Assigned Numbers Authority. 14. September 2009. Abgerufen am 15. September 2009.

Weblinks[Bearbeiten]