STARTTLS, SSL및 TLS 차이점

STARTTLS는 두 컴퓨터 간의 통신 채널을 암호화하는 방법을 제공하는

SSL/TLS(Secure Socket Layer / Transport Layer Security)를 화용하여 비보안 연결을 보안 연결로 변환

 

SSL과 TLS는 특정 버전의 프로토콜을 명명하는 데 사용되지 않는 한 일반적으로 상호 교환 가능한 용어

 

명명 문제

많은 문제를 일으키고 상황을 복잡하게 만드는 문제는 STARTTLS 대신 TLS라는 용어를 오용하는 일종의 이메일 소프트웨어입니다. 이전 버전의 Thunderbird는 "TLS"를 "STARTTLS를 사용하여 연결을 업그레이드하고 STARTTLS가 지원되면 실패합니다."로 사용했습니다. 뿐만 아니라 "가용성에 따라 TLS"를 "서버가 지원을 알리는 경우 STARTTLS를 사용하여 연결을 업그레이드하고, 그렇지 않으면 다른 연결을 시도하십시오"로 사용합니다.

포트 번호

또한 모든 프로토콜에 대해 포트 번호를 구성해야 하는 경우 상황이 더 어려워집니다.
일부 기존 프로토콜의 보안을 보장하기 위해 SSL/TLS 암호화를 현재 프로토콜 아래 계층인 것처럼 간단히 추가하는 것이 매우 일반적입니다. 어쨌든 해당 소프트웨어는 일반 텍스트 대신 프로토콜의 SSL/TLS 암호화 버전을 인식해야 합니다. 포트 번호는 한 프로토콜에서 다른 프로토콜로 변경됩니다.

 

IMAP 은 포트 143을 사용하지만 암시적 SSL/TLS 암호화된 IMAP은 포트 993 을 사용합니다.

POP는 포트 110을 사용하지만 암시적 SSL/TLS 암호화된 POP는 포트 995 를 사용합니다.
SMTP는 포트 25를 사용하지만 암시적 SSL/TLS 암호화된 SMTP는 포트를 사용합니다 . 465.

 

클라이언트가 SSL/TLS 암호화된 연결로 연결을 업그레이드하는 경우를 제외하고 일반 텍스트로 시작하는 포트는 하나만 있어야 합니다. 그러나 SSL/TLS 연결과 함께 대체 포트 번호를 사용하는 소프트웨어가 이미 있었습니다. 클라이언트 소프트웨어는 오래 지속될 수 있으므로 단순히 Mordor에 들어가는 것이 아니라 소프트웨어가 업그레이드될 때까지 단순히 암호화된 포트를 비활성화하지 않는 것과 같습니다.

 

SSL/TLS(STARTTLS라고도 함)를 지원하는 일반 텍스트 프로토콜과 STARTTLS 업그레이드를 수행하지 않고 오래 시도해서는 안 된다는 것을 클라이언트에 알리기 위해 일부 메커니즘이 각 프로토콜에 추가되었습니다.

포트 993을 통해 암호화된 IMAP SSL/TLS 또는 포트 995를 통해 암호화된 POP SSL/TLS.
일부 중요한 웹사이트는 일반 IMAP(포트 143) 및 일반 POP(포트 110)를 비활성화하기 시작했습니다 . SSL/TLS 암호화 연결을 사용하십시오.
포트 143 및 110을 비활성화하면 STARTTLS가 IMAP/POP 연결의 대안으로 작동하지 않도록 완전히 제거됩니다.

SMTP STARTTLS: 유일한 예외

SMTP STARTTLS는 위의 모든 표준에 대한 예외이지만 다른 이유가 있습니다. 이메일 소프트웨어는 메일 전송 에이전트를 위해 이메일 서버에 메시지를 제출하기 위해 포트 25에서 SMTP를 자주 사용했습니다. 그러나 SMTP는 제출용이 아닌 전송용으로 생성되었습니다. 그렇기 때문에 포트 587은 메시지 제출 전용으로 정의되었습니다.

587은 STARTTLS를 요구할 필요가 없지만 클라이언트와 서버 간 통신의 SSL/TLS 암호화가 SMTP에 대한 암호화 확장이 정의되는 동안 점점 더 큰 보안 및 개인 정보 문제가 되기 시작했기 때문에 587의 사용이 대중화되었습니다.

 

포트 465가 정의된 지 얼마 지나지 않아 클라이언트가 포트 587 대신 STARTTLS를 사용하기를 원할 것이라는 기대로 취소되었습니다. 그 결과 포트 587을 통해 메시지 제출을 제공하는 시스템은 클라이언트가 STARTTLS를 사용하여 연결을 업그레이드해야 합니다. 암호로 보호된 로그인도 필요했습니다.

그러나 결국 나쁜 것은 없습니다. 사람들이 이메일 전송에 포트 25를 사용하지 않도록 함으로써 ISP는 사용자 컴퓨터에서 포트 25 연결 시도를 차단할 수 있으므로 많은 스팸이 생성됩니다. 컴퓨터 바이러스 덕분입니다.

 

그럼에도 불구하고 포트 번호 변경으로 인해 암시적 SSL/TLS만 지원하는 많은 이메일 클라이언트가 생성되었고 포트 465를 제거하는 것은 고객에게 문제가 되었기 때문에 많은 사이트에서 선택 사항이 아니었습니다. 또한 포트 465가 옵션으로 발표되었기 때문에 587의 STARTTLS와 465의 SSL/TLS를 모두 지원하는 이메일 클라이언트를 사용하는 많은 사용자가 이를 사용하도록 설정했습니다. 이를 사용하도록 이메일 클라이언트를 구성했습니다.

이제 포트 465를 통해 암호화된 SMTP SSL/TLS를 사용하는 사람들과 포트 587을 통한 STARTTLS 업그레이드와 함께 SMTP를 사용하는 사람들 사이에 구분이 있습니다. 최근 몇 년 동안 한 번 더 변경되어 포트 465를 통한 암시적 TLS를 권장했습니다. 포트 465를 통한 암시적 TLS 및 포트 587을 통한 STARTTLS를 위해 포트 587이 중단되는 데 수십 년이 걸립니다.

 

https://www.mimecast.com/blog/ssl-vs-tls-vs-starttls-encryption/