Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) выступила с новой инициативой STARTTLS Everywhere, нацеленной на повсеместное использование шифрования трафика почтовых серверов. В рамках инициативы предложен сервис, который позволяет проверить произвольный почтовый сервер на предмет поддержки команды STARTTLS, использования надёжных алгоритмов шифрования и применения заслуживающих доверия сертификатов. В случае выявления проблем выдаются рекомендации по их устранению и корректной настройке.

STARTTLS Everywhere дополняет уже много лет существующий проект HTTPS Everywhere, в рамках которого развиваются дополнения к Firefox и Chrome, позволяющего на всех сайтах, где это возможно, использовать шифрование трафика. В настоящее время благодаря появлению таких сервисов, как Let’s Encrypt, удалось устранить преграды при получении сертификатов и для Web использование шифрованного доступа становится нормой. При помощи STARTTLS Everywhere энтузиасты намерены стимулировать повсеместный переход на корректное шифрование коммуникаций и для трафика почтовых серверов.

Несмотря на то, что доля почтовых серверов с поддержкой STARTTLS достаточно велика (по данным Google 89% сеансов устанавливаются с шифрованием), остаётся нерешённой существенная проблема — большинство почтовых серверов, поддерживающих STARTTLS, не выполняет проверку сертификатов при установке сеанса. Более того, около половины всех почтовых серверов с поддержкой STARTTLS используют самоподписанные сертификаты, не заверенные удостоверяющим центром.

Образовался замкнутый круг — с одной стороны администраторы почтовых серверов не спешат использовать полноценные сертификаты для STARTTLS, так как их никто не проверяет, а с другой стороны проверку сертификатов невозможно включить, так как на половине серверов используются самодельные сертификаты. Отсутствие верификации сертификатов делает шифрование номинальным и лишь создаёт иллюзию повышения защиты, так как при наличии контроля над любым транзитным узлом в сети остаётся возможность проведения MITM-атаки с подменой сертификата, в рамках которой можно перехватить и модифицировать трафик.

В случае выявления проблем при проверке сертификатов STARTTLS Everywhere предлагает администраторам почтовых серверов готовый скрипт (плагин к certbot для MTA, пока только для Postfix), запустив который на сервере можно бесплатно получить сертификат Let’s Encrypt для используемых доменов и сгенерировать готовый блок конфигурации. При проверке учитываются такие факторы как отсутствие возможности использования ненадёжных протоколов SSLv2/v3, соответствие имени почтового сервера и хоста в email с указанным в сертификате именем домена, истечение времени жизни сертификата и связь сертификата цепочкой доверия с корректным корневым сертификатом, присутствующим в списке корневых сертификатов Mozilla (можно найти в Debian-пакете ca-certificates).

Кроме того, с целью выявления атак по модификации запросов с откатом на установку сеансов без шифрования, в рамках проекта STARTTLS Everywhere также началось ведение списка почтовых серверов, к которым допустимо обращение с использованием шифрования с корректным сертификатом. Если в процессе взаимодействия с почтовым сервером, который упомянут в списке, зафиксирован отказ установить сеанс STARTTLS или использован сомнительный сертификат, то можно сделать вывод о попытке компрометации сервера.