Команда независимых ИБ-экспертов совместно с крупнейшими ИT-компаниями, включая Microsoft, Google и Yahoo!, представили на рассмотрение рабочей группы IEEE (Internet Engineering Task Force) предложение о создании нового протокола SMTP STS (Strict Transport Security), предназначенного для шифрования электронной почты. Новый стандарт представляет собой расширение, работающее по типу HSTS (HTTP Strict Transport Security).

SMTP STS — это новый механизм, с помощью которого провайдеры почтовых услуг могут реализовывать прием электронных сообщений с защитой TLS или определять методы проверки подлинности сертификатов. Важно отметить, что при установлении связи между серверами проводится диагностика, и в случае если один из них не поддерживает защищенное соединение, то сообщение не отправляется, а пользователь получает соответствующее уведомление о том, почему так случилось.

Широко используемый сейчас стандарт SMTP появился еще в 1970-х и считается устаревшим. Эта транспортная технология подвержена атакам типа «человек посередине», когда злоумышленник может перехватить или подменить письмо между клиентом и сервером. Кроме того, она неспособна предупредить получателя о том, что сообщение было прислано в виде обычного текста, без SSL-шифрования.

Для решения этой проблемы много лет назад появилось расширение протокола SMTP STARTTLS, но множество уязвимостей не позволило ему обрести популярность. В частности, оно не могло гарантировать шифрование сообщений.

В отличие от SMTP, новая технология не позволит хакеру перехватить письмо и вставить в него поддельный цифровой сертификат. Перед отправкой она автоматически проверяет домен на наличие поддержки STS, срок действия и подлинность сертификата, гарантируя, что сообщение будет зашифровано. Правила STS будут задаваться посредством специальных DNS-записей, которые будут добавляться к домену провайдера почтового сервиса.

Пока расширение STS представлено в виде черновика стандарта со сроком действия до 19 сентября 2016 г. Стоит ожидать, что при поддержке крупнейших технологических компаний стандарт может быстро стать реальностью.

Версия для печати (без изображений)