C’est officiel, Google passe au MTA-STS


C’était prévisible au vu de l’implication dans l’écriture du RFC8461 mais c’est désormais officiel : Google est le premier fournisseur au monde à déployer le MTA STS pour sa solution de messagerie.

MTA-STS, qui n’est pas encore standardisé, est une alternative à DANE pour assurer un chiffrement des flux de messagerie entre serveurs. Cette solution permet de pallier aux failles du SMTP qui, par nature, n’est pas sécurisé, mais aussi aux faiblesses du TLS, qui permettent encore aujourd’hui des attaques de type man-in-the-middle (MITM).

Pour cela, MTA-STS s’appuie sur la publication d’un certificat dans le DNS et d’une politique de sécurité sur un serveur Web alors que le protocole DANE impose le déploiement du DNS-SEC. Si le déploiement est encore en Beta selon Google – à ce titre, seule la documentation anglaise est disponible (ouvre un nouvel onglet) – cette annonce devrait relancer le débat entre DANE et MTA-STS.

Pour plus d’informations sur MTA-STS et DANE voici un article publié en septembre dernier (ouvre un nouvel onglet).

Glossaire :

MTA STS : MTA Strict Transport Security

MTA : Message Transport Agent

DANE : DNS-Based Authentication of Named Entities

DNS : Domain Name System

TLS : Transport Layer Security

DNS – SEC : Domain Name System – Security Extensions