Правда о StartTLS

• Исходники есть?
  
• Если что, то такое поведение отключить можно, вплоть до удаления соответствующего кода из бинарников?
  
• Либы протокола подменить на свои где эта возможность отключена можно или они намертво вшиты в приложение?
  

А как считаете вы, лоровцы, где правда?

Правда как обычно в RFC, список RFC для StartTLS перечислен в википедии.

он новее SSL

Мне кажется ты путаешь TLS и StartTLS.

StartTLS начнет передачу данных в нешифрованном виде.

С чего бы? Принимать решение работать дальше или нет будет клиент. Бегло глянул тот сайт - там что ни статья так перлы. Закрой его и больше не открывай.

Данный вопрос всплыл из-за того, что на почтовом сервере сменился SSL-сертификат.

А поскольку пользуюсь Sylpheed с протоколами POP3s/995 и SMTPs/465, т.е. c SSL, то Сильфида при получении писем это дело сразу засекла и предложила либо согласиться с новым сертификатом, либо отвергнуть его.
Разумеется, я согласился, и письма стали приходить.

Но это получение писем. А вот с отправкой получилась засада - Сильфида не стала ничего предлагать, а тупо выдает ошибку -

Сбой соединения с сервером SMTP: mail.domain.org:465

Тогда попробовал в учетке сменить SSL на StartTLS - тоже предложило сертификат, согласился с ним, и отправка писем тоже стала уходить нормально.
(c использованием SSL отправка по-прежнему выдает ошибку)

Можно, в принципе, остановиться на StartTLS, раз он работает, но смущает выводы той статьи, и противоречивые мнения по алгоритму его хендшейка - допускает ли он нешифрованные соединения, или все-таки блокирует?

Ничего он не допускает и не принимает решений, клиент решает продолжать работу или нет и никак иначе. Там на том сайте везде полнейший бред буквально в каждой статье. Смущают выводы очень правильно - они там не верные. И не только они.

Ок, и как мой клиент, в данном случае Сильфида, решает вопрос с StartTLS - продолжать работу или нет?

Если установлено использование StartTLS в настройках, то при отсутствии его поддержки на сервере общение с таким сервером будет прекращено с соответствующей ошибкой. Касательно валидности сертификата - все так же как с любыми другими TLS и SSL соединениями.

Это радует :) Перехожу на StartTLS.

И пожалуйста, еще один вопросик: в настройках SSL Сильфиды есть одна не слишком удачно переведенная на русский опция, в силу чего никак не могу понять ее смысла -

Неблокирующий режим SSL
Отключите при проблемах подключения SSL

Чтобы она значила? И что означает «отключить ее» - снять галочку, или наоборот, установить ее?


Если бы она называлась «Блокирующий режим», тогда понятно, надо снять.
А не «Неблокирующий», в итоге получается как бы два раза «не», и это сбивает с толку :)

Это зависит от клиента, очень многий софт молча откатывается на плейн текст. Решето, в наше время трафик просматривают сотни глаз куда ни пойди.

А пример можно? Это же чистой воды баг, когда ты выбираешь один метод а на деле используется другой. Это тоже самое если бы ты в браузере вводил https://example.com а браузер молча чистый http использовал бы.

Да-да, именно так. Это они сделали для «удобства», так что не баг. Не помню что за клиент, но помню своё негодование.

браузер молча чистый http использовал бы

А вот это случалось достаточно часто на самом деле, даже если https был поднят и работал. Я не знаю зачем они это делали, экономили процессор наверное. Или криворукие. HTTPS Everywhere обычно выручает.

И что в этом плохого? Если тебе везде нужен HTTPS то запрети использование http. Не думал что при использование https можно навертеть так что например с мобилы сайт нельзя будет открыть из-за не поддерживаемых шифров. Сейчас полно бложиков, сайтов воткнувшие let's encrypt и прочих параноидальных штук которые при истечение срока сертификата сайт перестает открываться или браузер сыпет кучу предупреждений. Если клиент сам инициирует передачу в случае неудачного старта шифрования то чем starttls тебе не угодил. В почте обычно письма шифруют через PGP, если нужна безопасность