EFF lanza una iniciativa de encriptación para dominios de correo electrónico denominada STARTTLS Everywhere

La Electronic Frontier Foundation (EFF) anunció un nuevo proyecto llamado STARTTLS Everywhere que tiene como objetivo proporcionar orientación a los administradores del servidor sobre cómo configurar un servidor de correo electrónico adecuado que ejecute STARTTLS de la manera correcta.

STARTTLS Everywhere es inquietantemente similar a Let's Encrypt, otra iniciativa pro encriptación que el EFF lanzó junto con Mozilla y Cisco hace dos años.

Pero esta iniciativa tiene como objetivo llevar las comunicaciones cifradas a los servidores de correo electrónico, en lugar de servidores web (el propósito de Let's Encrypt).

Qué es STARTTLS

Como su nombre lo indica, STARTTLS Everywhere apunta a STARTTLS. Esta es una extensión del protocolo de envío de correo electrónico SMTP que toma una conexión insegura existente y la actualiza a una conexión segura utilizando certificados SSL.

STARTTLS funciona al permitir que dos servidores de correo electrónico que desean enviar/recibir un correo electrónico intercambien certificados y establezcan un canal de comunicaciones cifrado entre los dos. Una vez que el canal encriptado está asegurado, el servidor emisor transmite el correo electrónico de forma cifrada, que luego se descifra al llegar.

Esto asegura que el correo electrónico no pueda ser leído por otros observadores externos (servidores a través de los cuales viaja el correo electrónico), y solo el remitente y el destinatario pueden ver el contenido del correo electrónico.

STARTTLS ya está implementado en el 89% de todos los servidores de correo electrónico

STARTTLS no es nuevo en ningún momento de la imaginación. La extensión estándar SMTP fue aprobada en 1999, y según el último informe de transparencia de correo electrónico de Google, ya se implementó en el 89% de todos los servidores de correo electrónico actualmente en línea.

Pero a pesar de su gran alcance, los expertos de EFF dicen que STARTTLS a menudo está mal configurado.

"Aunque muchos servidores de correo permiten STARTTLS, la mayoría todavía no valida certificados", dicen los expertos de EFF.

Lo que esto significa es que cualquiera puede interponerse entre dos servidores de correo electrónico y usar un certificado no válido para hacerse pasar por el destinatario o el remitente, ya que la mayoría de los servidores de correo electrónico no verifican la autenticidad del certificado proporcionado.

Además, debido a una interrupción en el diseño de STARTTLS, los canales de comunicación de correo electrónico encriptados con STARTTLS pueden degradarse para enviar el mensaje de correo electrónico en texto claro, en lugar de en forma cifrada.

Esta "característica" fue diseñada para situaciones donde un servidor no es compatible con STARTTLS, pero durante los últimos años, los investigadores de seguridad y defensores de la privacidad a menudo han detectado ISP en varios países que degradan intencionalmente STARTTLS al texto claro para diversos fines que van desde la vigilancia estatal al seguimiento y publicidad del usuario.

STARTTLS Everywhere es como Let's Encrypt, pero para correo electrónico

El EFF dice que aquí es donde su último proyecto, STARTTLS Everywhere, podrá ayudar.

"STARTTLS Everywhere proporciona un software que un sysadmin puede ejecutar en un servidor de correo electrónico para obtener automáticamente un certificado válido de Let's Encrypt", dice el EFF. "Este software también puede configurar su software de servidor de correo electrónico para que use STARTTLS y presente el certificado válido a otros servidores de correo electrónico".

"Finalmente, STARTTLS Everywhere incluye una 'lista de precarga' de servidores de correo electrónico que prometieron soportar STARTTLS, lo que puede ayudar a detectar ataques de baja calificación. El resultado final es un correo electrónico más seguro y menos vigilancia masiva".

Los detalles sobre cómo configurar correctamente STARTTLS en servidores de correo electrónico, junto con detalles sobre cómo hacer que un servidor de correo electrónico ejecute la "lista de precarga" STARTTLS del EFF y cómo obtener sus propios sitios en la lista están disponibles en el sitio web STARTTLS Everywhere que se lanzó ayer.