Disabilitazione protocolli di cifratura SSL/TLS obsoleti
Si comunica che, in ottemperanza al GARR CERT Security Alert GCSA-14038, a partire dal 01/10/2017 è stato rimosso il supporto ai protocolli di cifratura obsoleti e non più sicuri SSLv3 e TLS 1.0 da tutti i server dei sistemi di posta elettronica di Ateneo.
Questa modifica si è resa necessaria come aggiornamento tecnologico per far fronte alle ormai note vulnerabilità dei protocolli su indicati, meglio descritte negli alert emessi dal GARR CERT o dal CERT Nazionale Italia
Cosa sono i protocolli di cifratura? A cosa servono nell'ambito della posta elettronica?
Transport Layer Security (TLS) e il suo predecessore Secure Sockets Layer (SSL), le cui versioni SSLv2, SSLv3 e TLS 1.0 sono considerate ormai insicure, sono dei protocolli crittografici di presentazione usati nel campo delle telecomunicazioni e dell'informatica che permettono una comunicazione sicura su Internet dalla sorgente al destinatario fornendo autenticazione sicura, certezza dell'interlocutore e integrità dei dati.
Quali conseguenze avrà la disabilitazione dei protocolli obsoleti, non più sicuri?
Attualmente i protocolli abilitati nei nostri sistemi sono il TLS 1.1 e il TLS 1.2. Quest'ultimo è il protocollo da preferire ove possibile in quanto considerato universalmente come il più sicuro. La selezione del protocollo TLS più sicuro è automatica in tutti i moderni client di posta e non necessita in genere di intervento da parte dell'utente. Basterà mantenere la selezione SSL o SSL/TLS come indicato nelle nostre guide per la configurazione di un client di posta.
La disabilitazione dei protocolli insicuri SSLv3 e TLS 1.0 potrebbe tuttavia impedire a vecchie versioni di client di posta elettronica o vecchie versioni di sistemi operativi, di stabilire connessioni criptate verso i nostri server.
Il problema più comune riguarda i PC con il vecchio sistema operativo Windows XP, per i quali è fortemente consigliato l'aggiornamento ad una versione superiore in grado di supportare la nuova generazione di protocolli TLS. In presenza di hardware obsoleto non aggiornabile ad una versione recente del sistema operativo si consiglia l'utilizzo di un client di posta in grado di utilizzare i nuovi protocolli TLS a prescindere dal supporto offerto dal sistema operativo, ad esempio il client di posta gratuito Mozilla Thunderbird.
.