RSA2017:Gmail将引入SMTP严格传输安全
发布日期:2017-02-202月16日在RSA 2017会议上,Google反滥用研究团队负责人Elie Bursztein表示,Gmail有望在今年某段时间向电子邮件服务引入SMTP Strict Transport Security(SMTP严格传输安全,简称SMTP STS)机制。
最早的电子邮件通信标准为1982年提出的简单邮件传输协议(Simple Mail Transfer Protocol,SMTP),SMTP不包含任何加密功能,2002年出现了添加TLS加密功能的SMTP STARTTLS。有别于SMTP传输明文数据,SMTP STARTTLS采用基于TLS的加密通信,保障电子邮件通信安全。
但是STARTTLS仍有其不足之处,它缺乏认证电子邮件服务器证书的能力,仅验证是否存在TLS证书,无法验证证书所有者及证书有效性,允许黑客使用伪造、被盗或其他不受信任的恶意证书伪装成邮件服务器,劫持加密流量。
Elie Bursztein在RSA 2017会议上说,SMTP STS类似为电子邮件提供的HTTPS证书钉,它将根据可信公钥列表验证TLS证书,仅接受特定的TLS连接,并拒绝任何其他连接,它将成为中间人攻击的主要障碍。谷歌、微软、雅虎和Comcast预计今年将采用这一标准,其草案已于2016年3月提交给IETF。
Gmail还添加了视觉提示,比如在收件箱中显示断开的锁,指示要发送的电子邮件以明文发送,更好地推动了HTTPS加密的实施。数据显示,从其他提供商到Gmail的入站邮件80%已加密,而从Gmail到其他提供商的出站邮件87%已加密,这项数据在2014年6月分别是65%和50%。
SSL证书是邮件服务器执行SMTP STS的重要元素,沃通SSL证书Pre系列产品支持所有浏览器和各种新老操作系统,支持各种新老移动终端。为邮件服务器部署沃通SSL证书,保护服务器与客户端之间的数据传输安全,防止中间人窃取和篡改;邮件接收服务器(POP3/IMAP) 和发送服务器(SMTP) 部署沃通SSL证书,确保链路加密;使用沃通超安SSL Pre可以浏览器中显示醒目绿色地址栏及组织名称,安全可信。沃通提供细致的本地化客户服务和专业的一对一技术支持,帮助用户应对各类复杂应用场景,更加快捷地完成证书部署。
相关资讯:
为了应对未来一些可能的新的信息安全威胁,进一步强化Gmail用户通信安全,Google正在开发能警告用户未加密信件的工具,并预计在未来几个月陆续续部署。
100万Gmail邮箱遭政府黑客攻击,谷歌进一步提升邮箱安全警示
谷歌确认最近有100万的Gmail账户被政府黑客攻击,他们已经采取措施提升邮箱安全警示服务,保护用户免受政府黑客和监视活动的攻击。
Gmail和Hotmail已经是全网全时都是https加密; (2) 使用客户端证书用于 Web 方式登录的强身份认证,替代不安全的用户名和密码方式认证;...
我们同样还是先来看看免费电子邮箱先驱 Hotmail 是如何做的,再看看 Gmail 和 Yahoo Mail 是如何做的,相信对各位电子邮件服务提供商一定有所启发。如下图 1 所示...