EFF เปิดตัวโครงการ STARTTLS Everywhere ส่งเสริมการเข้ารหัสข้อมูลอีเมล

Electronic Frontier Foundation (EFF) ประกาศเปิดตัวโครงการใหม่ STARTTLS Everywhere พุ่งเป้าให้คำแนะนำวิธีการตั้งค่า STARTTLS บน Email Server อย่างถูกต้องแก่ผู้ดูแลระบบอีเมล ส่งเสริมการใช้อีเมลอย่างมั่นคงปลอดภัย

อาจกล่าวได้ว่า STARTTLS Everywhere มีความคล้ายคลึงกับ Let’s Encrypt โครงการเข้ารหัสข้อมูลเว็บไซต์ที่ EFF เปิดตัวร่วมกับ Mozilla และ Cisco เมื่อ 2 ปีก่อน แต่โครงการนี้จะเน้นที่การเข้ารหัสข้อมูลระบบอีเมลแทน

STARTTLS Everywhere มุ่งเน้นที่การตั้งค่า STARTTLS ซึ่งเป็น Extension ของโปรโตคอล SMTP สำหรับส่งอีเมล STARTTLS มีหน้าที่ช่วยให้เซิร์ฟเวอร์อีเมล 2 เครื่องสามารถแลกเปลี่ยน SSL Certificates ระหว่างกัน และสร้างช่องทางสื่อสารที่มีการเข้ารหัสข้อมูล จากนั้นก็ส่งอีเมลหากันผ่านช่องทางดังกล่าว ช่วยป้องกันการถูกดักฟังและทำให้การรับส่งอีเมลมีความมั่นคงปลอดภัยมากยิ่งขึ้น

STARTTLS ไม่ใช่เรื่องใหม่ Extension นี้ได้รับการยอมรับตั้งแต่ปี 1999 และเซิร์ฟเวอร์อีเมลในปัจจุบันก็มีการใช้งานมากถึง 89% (อ้างอิงจากรายงาน Email Transparency Report ฉบับล่าสุดของ Google) อย่างไรก็ตาม EFF ค้นพบว่า ส่วนใหญ่ยังคงตั้งค่า STARTTLS ไม่ถูกต้อง โดยเฉพาะอย่างยิ่งการไม่มีการยืนยัน Certificates

EFF จะให้บริการซอฟต์แวร์ที่ช่วยให้ผู้ดูแลระบบสามารถนำไปใช้รันบนเซิร์ฟเวอร์อีเมลเพื่อรับ Certificate ที่ถูกต้องจาก Let’s Encrypt โดยอัตโนมัติ รวมไปถึงตั้งค่าซอฟต์แวร์บนเซิร์ฟเวอร์อีเมลเพื่อให้สามารถใช้ STARTTLS และแลกเปลี่ยน Certificate กับเซิร์ฟเวอร์อีเมลอื่นได้อย่างถูกต้อง นอกจากนี้ยังมีการรวบรวมรายชื่อของเซิร์ฟเวอร์อีเมลที่รองรับ STARTTLS เพื่อป้องกันการโจมตีแบบ Downgrade Attack อีกด้วย

ผู้ที่สนใจสามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.starttls-everywhere.org/faq/

ที่มา: https://www.bleepingcomputer.com/news/security/eff-launches-encryption-initiative-for-email-domains-named-starttls-everywhere/