Microsoft, Google, Comcast, LinkedIn и другие лидеры IT-рынка предложили организации Internet Engineering Task Force (IETF) принять новый механизм, усиливающий защиту электронных писем. Стандарт — SMTP Strict Transport Security (SMTP STS) — призван удостоверить подлинность письма, а также что оно было зашифровано должным образом.
Широко используемый сейчас стандарт, SMTP, появился еще в 70-х годах и считается устаревшим. Транспортная технология подвержена атакам типа "человек посередине", когда злоумышленник может перехватить или подменить письмо, встав между клиентом и сервером. Кроме того, она неспособна предупредить получателя о том, что сообщение было прислано в виде обычного текста, без SSL-шифрования.
В качестве решения этой проблемы был предложен протокол SMTP STARTTLS, создающий защищенный канал поверх обычного TCP-соединения. Тем не менее, "надстройка" к SMTP широкого распространения не получила.
В отличие от SMTP, новая технология не позволяет хакеру перехватить письмо и вставить в него поддельный цифровой сертификат. Перед отправкой она автоматически проверяет домен на наличие поддержки STS, срок действия и подлинность сертификата, гарантируя, что сообщение будет зашифровано.
С начала года Google начала предупреждать пользователей, если к ним поступит незашифрованное письмо. Безопасное соединение (например, по SSL-протоколу) гарантирует, что содержимое письма увидят только отправитель и получатель. Третьему лицу перехватить сообщение будет практически невозможно.
Кроме того, в последние годы шифрование внедряют и другие провайдеры, например Yahoo. С 2013-го количество зашифрованных писем, отправленных на ящики Gmail со сторонних почтовых сервисов, увеличилось с 33 до 61%. Для получателей оставшихся 39% писем почта Gmail будет показывать уведомления с рекомендацией переключиться на защищенный канал связи.
Источник: The Next Web