Utvecklare från bland annat Google, Microsoft, Yahoo, Comcast och Linkedin har lagt fram ett utkast för en helt ny säkerhetsstandard för e-post.
Det är kanske bäst att vi ger en snabb bakgrund till det hela. Protokollet SMTP, eller Simple Mail Transfer Protocol, lanserades redan 1982 – med andra ord i en tidsålder då it-säkerhet inte direkt var det första utvecklare prioriterade. Givetvis fanns inte heller några möjligheter att använda kryptering när e-posten skickades (i den mån den nu skickades).
Därefter dröjde det ända till 2002 innan det gick att köra tillägget starttls för att förbättra säkerheten för smtp-anslutningarna Men många e-postleverantörer använde det ändå inte.
Idag, efter år av säkerhetsincidenter och övervakade e-postkorrespondenser är StartTLS vida utbrett. Google pekar till exempel på att 83 procent av all e-post som skickas från Gmail är skyddad av TLS medan 70 procent av e-posten som skickas till Gmail-adresser är skyddad. Men dessvärre har utvecklingen sprungit ikapp tekniken och den kan relativt enkelt dekrypteras – utan någon möjlighet för användaren att se att så sker.
Sammanslutningen av utvecklare har därför tagit fram riktlinjerna för en ny standard som kallas SMTP Strict Transport Security (STS), och lämnat ett utkast till IETF (Internet Engineering Task Force) för behandling och vidareutveckling mot standard. Målet är att tekniken ska skapa ett nytt och säkrare sätt för Internetaktörer att hantera in- och utgående e-post. Ett av de största hoten man vill eliminera är så kallade man-in-the-middle-attacker, där mailen angrips på sin väg mellan avsändare och mottagare.
Ska förhindra falska certifikat
Till exempel kan en angripare infoga ett falskt digitalt certifikat, men som systemet godkänner som äkta. Det innebär att du kan råka skicka e-post till en osäker server utan att du ens vet om det. Det nya systemet ska förhindra att detta scenario inträffar. STS-funktionen kommer att kontrollera om domänen du skickar till har stöd för SMTP STS och säkerställer att dess krypteringscertifikat är giltigt och aktuellt.
Tanken är att skydda mot sårbarheter som utnyttjas för att bryta ner SSL-krypteringen på e-post. När ett e-postmeddelande skickas till en server som stöder det nya formatet, SMTP Strict Transport Security (STS), kommer avsändaren automatiskt kontrollera kryptering och certifieringar innan brevet skickas. Om denna kontroll misslyckas, kommer sändningen att avbrytas och avsändaren underrättas om orsaken.
Eftersom SMTP STS som sagt bara är ett första utkast lär vi inte få se det som standard än på ett tag, men med tanke på vilka tunga aktörer som står bakom utvecklingen lär det gå betydligt snabbare än med många andra tekniker.