A Google és a Microsoft mellett a Yahoo, a Comcast és a LinkedIn, valamint a 1&1 Mail and Media Development and Technology szoftvermérnökei is részt vettek az SMTP Strict Transport Security mechanizmus kifejlesztésében, amellyel az email szolgáltatók a levelezés titkosításához szükséges szabályokat definiálhatják. Az új mechanizmus tervezetét a csoport a múlt héten terjesztette az Internet Engineering Task Force (IETF) elé elbírálásra.
Titkosítás lehetőségét a leveleket az email klinsek és szerverek, valamint a szolgáltatók között kézbesítő, 1982-ben kifejlesztett Simple Mail Transfer Protocol (SMTP) eredetileg nem kínált. Ezért 2002-ben a STARTTLS bővítmény hozzáadásával TLS (Transport Layer Security) titkosítással egészítették ki az SMTP kapcsolatokat, a technológia azonban nem terjedt el a várt mértékben.
Gyökeresen megváltozott a helyzet azonban 2013-ban, amikor az amerikai nemzetbiztonsági hivatal, az NSA volt beszállítója, Edward Snowden által kiszivárogtatott dokumentumok ráirányították a figyelmet az internetes kommunikáció széles körű megfigyelésére. A rá következő év májusában a Facebook, amely értesítő emailek milliárdjait küldi ki naponta, még azt regisztrálta, hogy a levelek 58 százaléka halad át STARTTLS-sel titkosított kapcsolaton, de 2014 augusztusára ez az arány 95 százalékra szökött.
Van azonban egy bökkenő. A HTTPS (HTTP Secure) technológiával szemben a STARTTLS megengedi az ún. opportunisztikus titkosítást. Más szóval nem ellenőrzi az email szerverek által bemutatott digitális tanúsítványokat, mintegy feltételezve, hogy az ellenőrizhetetlen azonosságú szerverek által végzett titkosítás is jobb, mint a semmi.
A STARTTLS kapcsolatok ezért kitettek a közbülső ember (man-in-the-middle) típusú támadásoknak, melyek során a hackerek által felmutatott, bármilyen - akár maguk által aláírt - tanúsítványt a szerverek és a kliensek elfogadják, így a forgalom titkosítása feloldhatóvá válik. Hasonlóképp az ún. titkosítás-lefokozó (encryption downgrade) támadások során a STARTTLS kapcsolatok titkosítása egyszerűen eltávolítható.
Mindkét problémát orvosolja a most javasolt SMTP Strict Transport Security (SMTP STS) technológia. Segítségével az email szolgáltatók jelezhetik a klienseknek, hogy a TLS titkosítás elérhető, és azt használniuk kell. A mechanizmus azt is részletezi, hogy a biztonsági tanúsítványokat miként kell bemutatniuk a szervereknek, és mi történjen, ha a biztonságos TLS kapcsolat mégsem hozható létre.
A tervezet szerint az SMTP STS szabályokat a szerver tartománynevéhez hozzáadott, speciális DNS rekordok írják le. A protokoll által biztosított mechanizmus révén a kliensek automatikusan ellenőrzik ezeket a szabályokat, és jelentik, ha a tanúsítás sikertelenül végződik. A szerverek azt is előírják a klienseknek, hogy meghatározott időre cache-eljék SMTP STS szabályaikat, így meghiúsítva a hamis szabályokkal csatlakozni próbáló, közbülső emberek támadásait.
Hasonlít ennek alapján az új protokoll a HTTP Strict Transport Security (HSTS) technológiára, amely a HTTPS titkosítás lefokozására irányuló támadásokat a tartomány HTTPS szabályainak böngészőben, helyben történő cache-elésével hatástalanítja.
A Google legfrissebb adatai szerint a Gmail postafiókokból küldött levelek 83 százaléka már ma is titkosított, de a más szolgáltatóktól beérkező emailek 69 százaléka titkosítatlan csatornán utazik. Levéltitkosítás tekintetében nagy eltérések mutatkoznak a világ térségei között is, Európához és az Egyesült Államokhoz mérten a helyzet sokkal rosszabb Ázsiában és Afrikában.
