GMXからおしらせ - TLS1.1の廃止
  • (2022-05-16 14:22:52)

「TLS1.2以上を使え」というメール来る



GMXからメールが来た。

Deactivation of TLS 1.0 and TLS 1.1

We are contacting you because one or more of your devices or programs uses the TLS 1.0 and/or TLS 1.1 encryption protocols to connect to our GMX email servers. This involves either access via SMTP (sending emails) or retrieval via POP3/IMAP (receiving emails).

Unfortunately, the TLS 1.0 and TLS 1.1 encryption protocols are outdated and no longer meet current security standards. To protect your email communications, soon we will no longer allow access to our GMX servers with these outdated protocols.

We recommend that you only use newer devices and programs that support the latest TLS 1.2 or 1.3 encryption protocols.


要約すれば「TLS1.0と1.1の使用を中止するので、1.2以上を使うように」ということらしい。

いつ廃止されるのか不明。


自分が使っているTLSバージョンが不明


私のメールソフトはBecky!。「POP3S&SMTPS」で使用する際のSSL/TLSバージョンは「デフォルト」にしており、これで問題なく動作している。

この「デフォルト」がSSL/TLSのどのバージョンかボクは知らないし、「デフォルト」がどういう状態なのかもよくわからない。

動いているのなら別に構わないというのが本音。

しかし、これが動かなくなる可能性があるのでテストしてみた。


Becky!で選択可能なSSL/TLSは?


Becky!での設定は下記のSSL/TLSを選択できる(Becky! 2.75):

SSL1.0 → SSL.1.1 → SSL2.0 → SSL3.0 → TLS1.0 → TLS1.1 → TLS1.2 → TLS1.3

STARTTLS1.0 → STARTTLS1.1 → STARTTLS1.2 → STARTTLS1.3


SSL暗号化に意味はあるのか?という問題


以前調べた範囲では、メールのSSL暗号化は、メールソフト(クライアント)からメールサーバまでの間だけであり、インターネット内のメールサーバ間は暗号化されていない。

これが正しい認識かどうか自信がないが、昔はそうだったと思う。

今はわからない。

しかし、もしメールサーバ間(サーバ-サーバ)が平文で流れているのなら、クライアント-メールサーバだけ暗号化しても片手落ちだろう。

とはいえ、クライアント-メールサーバの部分は、メールが一番安易に盗聴されやすい部分であり、意味はあるといえばある。

サーバ-サーバの通信の盗聴を行うには、ネット経由でメールサーバに進入するか、通信施設や通信設備内に物理的に侵入しないとできないので、外部の者が盗聴するにはハードルが高い、しかし、内部の者や政府関係者などならたやすいこと。

政府が全人民のメールをAIで監視するというようなことも簡単な話である。

実際、中国はやっているだろうし、米国もやっていると思う。

どの国もある程度やっているにしても、程度の差は大きい。万一のためのセキュリティ対策として最低限の盗聴レベルから、文字通り人民の監視というレベルまで。


TLS1.2以上で、とりあえずBeckyの動く設定


Beckyの設定は下記でとりあえず動いた。

受信用:TLS1.2
送信用:STARTTLS1.2
□証明書を検証しない → チェックを入れる

なぜこういう設定なのかはわからない。

deactivation_tls1.1.jpg
( Becky!設定画面 )



メールソフトにデジタル証明書はあるのか?


もう一つの疑問は、メールソフトにデジタル証明書はあるのか?という問題。

SSL/TLS暗号化は、自分が証明書を前もって取得しておく必要がある。

証明書は公開鍵と秘密鍵を生成し、通信相手(送信側)は、公開されている公開鍵をもとにデータを暗号化する。

そして、暗号化されたデータを受け取った側(受信側)は、自分の秘密鍵で復号化する。

しかし、メールソフトにデジタル証明書を入れた記憶はないので、どんな証明書を使っているのか?がわからない。

・・・以上、わからないことだらけのSSL/TLSの暗号化である。

TLS1.1が廃止されても、とりあえず上の設定にしておけば動くのではなかろうかと期待している。

動かないとき、そのとき再度調べればいいだろう、本日の作業は終了。



<< ガラケーからスマホ移行のトラブル記録< | >新BizStationサイトにログインできなかった記録 >>
search
layout
admin

[▲page top]