Es extrañamente difícil saber exactamente cómo funciona SSL con el correo electrónico, al menos en la medida en que responda mi pregunta específica: cuando me conecto a gmail usando SSL, entiendo que mi conexión es segura y, por lo tanto, todos los datos están encriptados entre MI COMPUTADORA y el SERVIDOR GMAIL . Sin embargo, ¿eso es todo lo que hace SSL? Por ejemplo, cuando abro un correo electrónico en mi computadora, ¿se cifran los datos entre Mountain View (o lo que sea) y mi casa? ¿Eso significaría que si le envío un correo electrónico a mi amigo que también usa gmail con SSL / gmail seguro habilitado, entonces si envío un correo electrónico también con un archivo adjunto a su cuenta de gmail, ese correo electrónico y el archivo adjunto se cifran en mi computadora y se envían a GMail? servidor, y luego, si mi amigo usa SSL, ¿puede adquirir el correo electrónico también? Entonces, ¿no hay necesidad de esos complementos de cifrado de Firefox? ¿Son solo para algoritmos de cifrado más robustos?
En resumen, esto es lo que creo que he aprendido (y proporciona un resumen para que otros lo lean). POR FAVOR, CORRÍJAME SI ESTOY EQUIVOCADO:
Gmail envía correos electrónicos a los servidores de Google con HTTP. gmail también recupera correos electrónicos de servidores de google con HTTP. cuando se conecta a los servidores de Google usando https (en lugar de http), la conexión entre su cliente de gmail y los servidores de gmail es segura y los datos se cifran entre ambos.
cuando se usa un cliente (por ejemplo, Thunderbird) SMTP se usa para enviar correos electrónicos, y IMAP / POP se usa para recuperar correos electrónicos. En el nivel de complementos / opciones, puede decirles a estos clientes que usen TLC para los pasos SMTP e IMAP / POP.
Los servidores de Google probablemente no usen TLS con SMTP cuando rebotan correos electrónicos entre sus servidores.
Conclusión: si usa gmail, use siempre HTTPS pero sepa que no hay cifrado entre los servidores de google, pero en el "mundo exterior" la conexión entre los clientes de google (siempre que use https) es segura. Si usa Thunderbird (u otra cosa), active TLS.
¿Es esto correcto?
fuente
Tus datos no son seguros.
La gente siempre está preocupada por los datos en tránsito, pero el hecho básico es que el almacenamiento de datos es el punto principal de dónde ocurren los ataques. Por ejemplo, las tarjetas de crédito generalmente se roban de archivos y bases de datos de números, y no del transporte de los números.
Google almacena sus datos. El almacenamiento no está encriptado. Las personas en Google, o aquellos que comprometen a Google, pueden leerlo algún día, si realmente les importa. El destinatario del correo también puede leerlo, y el propietario del servidor de correo del destinatario (ISP o compañía) también. Si el destinatario está utilizando un cliente de correo normal, se almacena en su máquina. Aquí es donde cualquier spyware o rootkits que el destinatario haya instalado podría acceder a él.
En tránsito, jtimberman tiene razón. Su navegador está hablando con Google, si confía en que la máquina que le envió el certificado es Google, y que Verisign o quien sea una compañía confiable le dice que Google realmente le envió el certificado de Google. Mientras el navegador habla con Google con el certificado a través de https, la transmisión está encriptada. Esto es bueno, porque significa que todas las otras PC en su red con posibles espías o usuarios curiosos, y el administrador de la red, no pueden leer cuánto se queja de ellas todos los días.
También debe confiar en su navegador, y en todos sus complementos. Pueden leer lo que hay en los formularios antes de enviarlo. En general, puede confiar en él, pero no en esas curiosas barras de herramientas que todos le piden que instale junto con todos los programas gratuitos que descarga.
Pero, en general, supongamos que le envió un correo electrónico a alguien y que contenía su identificación fiscal, fecha de nacimiento, dirección actual y nombre legal, algo que un empleador tal vez necesite saber, lo consideraría información confidencial. Bueno, ese correo electrónico es almacenado para siempre por Google en el área de correo enviado. Incluso después de eliminarlo. Y el destinatario va a almacenar una copia en su bandeja de entrada. El servidor de correo del destinatario podría estar almacenando una copia. El servidor de correo del dominio del servidor de correo del destinatario podría estar almacenando una copia, pero no por mucho tiempo. Y una cantidad de servidores más en el medio. TAMBIÉN smtp envía correo entre estos bastante sin cifrar, pero lo que es más aterrador, es que el programa malicioso de algunos delincuentes podría estar escuchando la red correcta en el momento adecuado para capturar los datos en tránsito, o que algún otro delincuente '
fuente
El cifrado SSL de GMAIL solo protege sus datos en tránsito. Entonces, en su ejemplo de su mensaje de correo electrónico que va de usted a gmail y luego de gmail a su amigo, todas las transmisiones se cifrarían, sin embargo, los datos en reposo en los servidores de gmail (una copia en sus elementos enviados y un copiar en la bandeja de entrada de tus amigos) todos serían datos legibles. Si confías en Google para mantener tus datos seguros, entonces estás bien.
¿En cuáles de los complementos de Firefox estás pensando?
jtimberman tiene razón en que necesitaría un programa de terceros como pgp / gpg para cifrar sus mensajes de correo para que Google no pueda leerlos.
fuente