El objetivo del nuevo mecanismo SMTP de estricta seguridad es asegurar que el tráfico de Email cifrado no sea vulnerable a los ataques man-in-the-middle.
Los ingenieros de algunos de los mayores proveedores de servicios de correo electrónico de todo el mundo se han unido para mejorar la seguridad del tráfico de correo electrónico que recorre Internet.
Ideado por los ingenieros de Microsoft, Google, Yahoo, Comcast, LinkedIn; 1 & 1 Mail y Media Development & Technology, el SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por emails cifrados.
El nuevo mecanismo se define como un proyecto que fue publicado la semana pasada para ser considerado como estándar de Internet Engineering Task Force (IETF).
El simple Protocolo de transferencia de mails (SMTP, por sus siglas en inglés), el cual se utiliza para transferir mensajes de correo electrónico entre clientes de E-mail y servidores, así como de un proveedor a otro, se remonta a 1982 y no fue construido con ninguna opción de cifrado.
Necesidad creciente
Por esta razón, en 2002, fue introducida en el protocolo una extensión llamada STARTTLS como una forma de incluir TLS (Transport Layer Security) con conexiones SMTP.
Por desgracia, durante la década siguiente, la extensión no fue adoptada ampliamente y el tráfico de correo electrónico intercambiado entre servidores permaneció – en gran medida – sin cifrar.
A diferencia de HTTPS (HTTP seguro), STARTTLS permite lo que se conoce como cifrado oportunista: No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que, incluso si la identidad de un servidor no puede ser verificada, cifrar el tráfico es mejor que nada.
Esto significa que las conexiones STARTTLS son vulnerables a man-in-the-middle, es decir, cuando un hacker está en posición para interceptar el tráfico y podría presentar el remitente de correo electrónico con cualquier certificado, incluso uno con firma, y ser aceptado, lo que permite que el tráfico se pueden descifrar. Estas conexiones también son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde, simplemente, se elimina el cifrado.
La nueva propuesta de estrictas medidas de seguridad de transporte SMTP (SMTP STS) aborda estas dos cuestione y ofrece a los proveedores de E- mail (Google, Microsoft, Yahoo, entre otros) los medios para informar a los clientes de conexión TLS que está disponible y deben utilizar.
También les dice cómo el certificado debe ser validado y lo que debería ocurrir si una conexión TLS no se puede negociar con seguridad.