StartTLS

StartTLS

STARTTLS bzw. StartTLS bezeichnet ein Verfahren zur sicheren Kommunikation auf der Transportschicht via Transport Layer Security und ermöglicht dadurch Authentifizierung, Integrität und Vertraulichkeit der übertragenen Nachrichten.

Inhaltsverzeichnis

E-Mail

Bei der Erweiterung des Übertragungsprotokolls SMTP zu ESMTP wurde eine neue Serverantwort STARTTLS spezifiziert, die anzeigt, dass die weitere Kommunikation verschlüsselt erfolgen kann. Dieser Mechanismus wurde kurz darauf auch für POP3 (Keyword STLS) und IMAP (Keyword STARTTLS) spezifiziert.

Bei der älteren Vorgehensweise zur Verschlüsselung der Mailverbindung setzt diese bereits beim Verbindungsaufbau ein. Hier geschieht die Abstimmung zwischen Client und Server, ob eine Verschlüsselung erfolgen soll, häufig durch Ansprache unterschiedlicher Ports für unverschlüsselte bzw. verschlüsselte Kommunikation.

Beispiele für Standardports:

  • SMTP auf Port 25 und SMTPS auf Port 465
  • IMAP auf Port 143 und IMAPS auf Port 993
  • POP3 auf Port 110 und POP3S auf Port 995

Im Gegensatz dazu beginnt eine Verbindung nach STARTTLS immer unverschlüsselt auf den normalen Ports und fährt auch nach Einigung und Umschaltung auf Verschlüsselung auf diesen fort. Ein essentieller Vorteil bei STARTTLS ist die Tatsache, dass die Peers die Fähigkeiten aushandeln können; wird auf einem dedizierten SSL-Port eine Klartextverbindung aufgebaut, kommt es zwangsläufig zum Abbruch, in umgekehrter Kombination ebenso. Dank STARTTLS kann zum Beispiel der Client (ohne Userinteraktion) wahrnehmen, dass der Server die Erweiterung bietet und automatisch Gebrauch davon machen. Im Alternativfall müsste der Client erst den dedizierten Port anvisieren, auf den Timeout warten und danach den Klartext-Port testen.

Ein essentieller Nachteil ist jedoch die Tatsache, dass beim Firewalling eine Analyse auf Anwendungsschicht nötig wird, um verschlüsselte und unverschlüsselte Verbindungen zu unterscheiden. Ähnliches trifft auf Proxys zu, die zwar auf Applikationsebene arbeiten, aber über die Portunterscheidung sehr viel leichter und schneller darüber entscheiden können, ob ein Caching ausgeführt werden soll.

Im RFC 2595, in dem STARTTLS für POP3, IMAP und ACAP spezifiziert wurde, wird von der Verwendung des älteren Verfahrens mit dedizierten Ports abgeraten.

HTTP

Für HTTP gibt es mit RFC 2817 ein zu STARTTLS vergleichbares Verfahren, um TLS-Verbindungen aufzubauen. Üblicherweise wird hier aber HTTPS nach RFC 2818 verwendet.

LDAP

Auch bei LDAP (RFC 4511) kann Mithilfe des STARTTLS-Kommandos die Verschlüsselung initiiert werden.

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • STARTTLS — oder StartTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security (TLS). Inhaltsverzeichnis 1 E Mail 2 HTTP 3 LDAP 4 …   Deutsch Wikipedia

  • Lightweight Directory Access Protocol — The Lightweight Directory Access Protocol (LDAP;  /ˈɛld …   Wikipedia

  • LDAP — Lightweight Directory Access Protocol Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP/IP. Il a cependant évolué pour… …   Wikipédia en Français

  • Ldap — Lightweight Directory Access Protocol Lightweight Directory Access Protocol (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP/IP. Il a cependant évolué pour… …   Wikipédia en Français

  • Lightweight Directory Access Protocol — (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP/IP. Il a cependant évolué pour représenter une norme pour les systèmes d annuaires, incluant un modèle de… …   Wikipédia en Français

  • Lightweight directory access protocol — (LDAP) est à l origine un protocole permettant l interrogation et la modification des services d annuaire. Ce protocole repose sur TCP/IP. Il a cependant évolué pour représenter une norme pour les systèmes d annuaires, incluant un modèle de… …   Wikipédia en Français

  • Opportunistic encryption — (OE) refers to any system that, when connecting to another system, attempts to encrypt the communications channel otherwise falling back to unencrypted communications. This method requires no pre arrangement between the two systems. Opportunistic …   Wikipedia

  • ESMTP — SMTP (Simple Mail Transfer Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Einspeisung von E Mail (Mail Submission), Abholung von E Mail eventuell über mehrere Stationen (Mail Transfer) Ports: 25/TCP 587/TCP (Alternative für Mail… …   Deutsch Wikipedia

  • Extended SMTP — SMTP (Simple Mail Transfer Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Einspeisung von E Mail (Mail Submission), Abholung von E Mail eventuell über mehrere Stationen (Mail Transfer) Ports: 25/TCP 587/TCP (Alternative für Mail… …   Deutsch Wikipedia

  • IMAP — (Internet Message Access Protocol) Familie: Internetprotokollfamilie Einsatzgebiet: Manipulation und Zugriff auf E Mails in Mailboxen. Port: 143/TCP 220/TCP (IMAP3) 993/TCP (IMAPS) IMAP im TCP/IP‑Protokollstapel: Anwendung IMAP T …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”