STARTTLS
TCP/IP |
---|
アプリケーション |
|
トランスポート |
カテゴリ |
インターネット |
カテゴリ |
リンク |
カテゴリ |
STARTTLS(スタート・ティーエルエス)は、
特徴
[TLSはアプリケーション
TLSの利点 の一 つは、アプリケーションプロトコルから独立 していることである。上位 層 のプロトコルから見 てTLSは透過 的 である。しかしTLSは、標準 では、セキュリティをどのように実装 するかまでは規定 していない。ハンドシェイクをどう始 めるか、交換 された電子 証明 書 をどう解釈 するかは、TLSより上位 のレイヤの設計 と実装 に委 ねられている[1]。
プロトコルのSTARTTLS対応 を規定 するRFC
[IMAP, POP3, ACAP | RFC 2595 |
SMTP | RFC 3207 |
FTP | RFC 4217 |
XMPP | RFC 6120 (5 |
LDAP | RFC 4511 (4.14 |
NNTP | RFC 4642 |
このうち、POP3、IMAP、SMTPについては、RFC 8314 でSTARTTLSよりも
SMTPにおけるSTARTTLS
[TLSを
S: <TCPポート25番 で接続 要求 を待 つ> C: <接続 をオープンする> S: 220 mail.example.org ESMTP service ready C: EHLO client.example.org S: 250-mail.example.org offers a warm hug of welcome S: 250 STARTTLS C: STARTTLS S: 220 Go ahead C: <TLSネゴシエーションを開始 > C & S: <TLSのネゴシエーション> C & S: <ネゴシエーションの結果 を確認 > C: EHLO client.example.org[注釈 1] …
2011
限界
[- メール
側 でTLS経由 を指示 するような情報 はなく、すべての中継 でTLSが使 われる保証 をする方法 がない[6] 公開 されるメールサーバの場合 、TLS接続 によって受信 することを強制 することはできず[7]、平文 で行 われるSTARTTLSの部分 を改竄 してしまえば、あとの通信 も平文 で行 われてしまう[6]。2014年 には、インターネットサービスプロバイダによるSTARTTLSの妨害 も報告 されている[8]。- DNS
偽装 が行 われた場合 、全 ホップのTLS接続 を保 ったまま中 間 者 攻撃 を成立 させられる[9]。
など、
脚注
[注釈
[- ^ この
時点 から暗号 化 通信 が開始 される(理解 しやすいようにこの行 を補 った)。詳細 はPaul Smithによる次 のメーリングリストへの投稿 を参照 されたい(英文 )。Paul Smith (2009年 1月 26日 ). “STARTTLS & EHLO”. ietf-smtp mailing list. Internet Mail Consortium. 2015年 10月 14日 閲覧 。 - ^ SMTPでは、
認証 は必須 ではないことに注意 。
出典
[- ^ Tim Dierks; Eric Rescorla (August 2008). “The Transport Layer Security (TLS) Protocol”. RFC Editor. 2012
年 5月 13日 閲覧 。 - ^ Paul Hoffman (February 2002). “SMTP Service Extension for Secure SMTP over Transport Layer Security”. RFC Editor. 2012
年 5月 13日 閲覧 。 - ^ Per Thorsheim (October 2011). “More STARTTLS support!”. 2012
年 5月 13日 閲覧 。 - ^ Postbox (November 2011). “Using Postbox with iCloud Accounts : Postbox Support”. 2011
年 11月13日 閲覧 。 - ^ 『マスタリングTCP/IP SSL/TLS
編 』、pp.408-409。 - ^ a b 『マスタリングTCP/IP SSL/TLS
編 』、p.406。 - ^ 『マスタリングTCP/IP SSL/TLS
編 』、p.400。 - ^ Jacob Hoffman-Andrews (2014
年 11月11日 ). “ISPs Removing Their Customers' Email Encryption”.電子 フロンティア財団 . 2014年 11月21日 閲覧 。 - ^ 『マスタリングTCP/IP SSL/TLS
編 』、p.407。 - ^ 『マスタリングTCP/IP SSL/TLS
編 』、p.409。 - ^ 『マスタリングTCP/IP SSL/TLS
編 』、p.451。
参考 文献
[Eric Rescorla、
関連 項目
[- TCP/IP
- Transport Layer Security(Secure Sockets Layer)
暗号 - インターネット
標準
外部 リンク
[- SMTP TLS Tests and Tools(TLS
接続 が可能 かテストできるウェブサイト。"Receiver Test"をクリックしてメールアドレスを入力 すると、メールアドレスをホストしているメールサーバで、本 項 で述 べたSTARTTLSコマンド発行 の様子 を確認 できる。英文 )