Команда независимых ИБ-экспертов совместно с крупнейшими ИT-компаниями, включая Microsoft, Google и Yahoo!, представили на рассмотрение рабочей группы IEEE (Internet Engineering Task Force) предложение о создании нового протокола SMTP STS (Strict Transport Security), предназначенного для шифрования электронной почты. Новый стандарт представляет собой расширение, работающее по типу HSTS (HTTP Strict Transport Security).
SMTP STS — это новый механизм, с помощью которого провайдеры почтовых услуг могут реализовывать прием электронных сообщений с защитой TLS или определять методы проверки подлинности сертификатов. Важно отметить, что при установлении связи между серверами проводится диагностика, и в случае если один из них не поддерживает защищенное соединение, то сообщение не отправляется, а пользователь получает соответствующее уведомление о том, почему так случилось.
Широко используемый сейчас стандарт SMTP появился еще в
Для решения этой проблемы много лет назад появилось расширение протокола SMTP STARTTLS, но множество уязвимостей не позволило ему обрести популярность. В частности, оно не могло гарантировать шифрование сообщений.
В отличие от SMTP, новая технология не позволит хакеру перехватить письмо и вставить в него поддельный цифровой сертификат. Перед отправкой она автоматически проверяет домен на наличие поддержки STS, срок действия и подлинность сертификата, гарантируя, что сообщение будет зашифровано. Правила STS будут задаваться посредством специальных DNS-записей, которые будут добавляться к домену провайдера почтового сервиса.
Пока расширение STS представлено в виде черновика стандарта со сроком действия до 19 сентября 2016 г. Стоит ожидать, что при поддержке крупнейших технологических компаний стандарт может быстро стать реальностью.