STARTTLS

STARTTLS oder StartTLS bezeichnet ein Verfahren zum Einleiten der Verschlüsselung einer Kommunikation mittels Transport Layer Security (TLS).

E-Mail

Beim Simple Mail Transfer Protocol (SMTP) zeigt ein Server durch die Antwort STARTTLS an, dass die weitere Kommunikation aus seiner Sicht verschlüsselt erfolgen kann. Dieser Mechanismus wurde kurz darauf auch für das Internet Message Access Protocol (IMAP) und für das Post Office Protocol (POP) spezifiziert, bei letzterem mit dem abweichenden Schlüsselwort STLS.

Bei einer älteren Methode zur Einleitung der Verschlüsselung einer Verbindung zwischen Mailprogramm (Client) und Mailserver setzt diese Verhandlung bereits beim Verbindungsaufbau ein, indem die entsprechenden Ports angesprochen werden. In den Beispielen für Standardports kennzeichnet das jeweilige S hinter den Protokollbezeichnungen die abgesicherte Variante:

• SMTP auf Port 25 bzw. 587 und SMTPS auf Port 465
• IMAP auf Port 143 und IMAPS auf Port 993
• POP3 auf Port 110 und POP3S auf Port 995

Im Gegensatz dazu beginnt eine Verbindung nach STARTTLS immer unverschlüsselt auf den für Klartext vorgesehenen Ports und führt diese auch nach Einigung und Umschaltung auf Verschlüsselung darauf fort. Ein essentieller Vorteil hierbei ist die Tatsache, dass die Peers, also die Verbindungspartner, die technischen Fähigkeiten beiderseits aushandeln können. Wird auf einem dedizierten SSL-Port eine Klartextverbindung aufgebaut, kommt es zwangsläufig zum Abbruch, in umgekehrter Kombination ebenso. Der Nutzer oder ein Admin muß nun eingreifen. Dank STARTTLS kann zum Beispiel der Client (ohne Nutzereingriff) wahrnehmen, dass der Server die Erweiterung bietet und automatisch Gebrauch davon machen. Im Alternativfall müsste der Client erst den dedizierten Port anvisieren, auf den Fristablauf warten und danach den Port für unverschlüsselte Kommunikation testen.

Ein essentieller Nachteil ist jedoch die Tatsache, dass beim Firewalling eine Analyse auf Anwendungsschicht nötig wird, um verschlüsselte und unverschlüsselte Verbindungen zu unterscheiden. Ähnliches trifft auf Proxys zu, die zwar auf Applikationsebene arbeiten, aber über die Portunterscheidung sehr viel leichter und schneller darüber entscheiden können, ob ein Caching ausgeführt werden soll.

Im RFC 2595, in dem STARTTLS für POP3, IMAP und ACAP spezifiziert wurde, wird von der älteren Verfahrensweise mit separaten Ports für TLS abgeraten. STARTTLS kann jedoch nicht verhindern, dass eine Client-Software, die STARTTLS nicht kennt (oder einfach schlecht programmiert ist), die Login-Daten im Klartext sendet (siehe Kapitel 9 von RFC 2595). Bei der Verwendung der dedizierten Ports für TLS ist dies ausgeschlossen. Die dedizierten Ports für POP3 und IMAP mit TLS sind weiterhin bei der Internet Assigned Numbers Authority registriert.^[1]

HTTP

Für HTTP gibt es mit RFC 2817 ein zu STARTTLS vergleichbares Verfahren, um TLS-Verbindungen aufzubauen. Üblicherweise wird hier aber HTTPS nach RFC 2818 verwendet.

LDAP

Auch bei LDAP (RFC 4511) kann Mithilfe des STARTTLS-Kommandos die Verschlüsselung initiiert werden.

Quellen

1. ↑ Port Numbers. Internet Assigned Numbers Authority (14. September 2009). Abgerufen am 15. September 2009.

Weblinks

• RFC 3207 – STARTTLS-Spezifikation
• StartTLS bei sendmail.org
• TLS bei linux-magazin.de