Slide thumbnail

Cập nhật kiến thức Google Cloud

Kiến thức

Cải thiện bảo mật email trong Gmail với giao thức TLS mặc định và các tính năng mới khác

17/04/2020

Có gì thay đổi

 

Gần đây, Google Security blog thống kê việc sử dụng giao thức Transport Layer Security (TLS) đã tăng lên hơn 96% tổng lưu lượng truy cập mà trình duyệt Chrome nhìn thấy trên Chrome OS. Bài đăng trên blog cũng nêu bật một mục tiêu quan trọng: bật TLS theo mặc định cho các sản phẩm và dịch vụ của Google để đảm bảo rằng TLS hoạt động tốt

 

Gmail đã hỗ trợ giao thức TLS, do đó, nếu kết nối thư theo Simple Mail Transfer Protocol (SMTP) đơn giản có thể được bảo mật thông qua TLS sẽ an toàn hơn. Tuy nhiên, để khuyến khích nhiều tổ chức tăng chế độ bảo mật email của họ và để tiếp tục mục tiêu trên là bật TLS theo mặc định, Google đã thực hiện các thay đổi sau:

 

  • TKết nối TLS cho email sẽ được bật theo mặc định
  • Quản trị viên hiện có thể kiểm tra cấu hình các định tuyến thư ra ngoài SMTP của họ trong bảng điều khiển Quản trị viên trước khi triển khai. Họ không còn cần phải chờ tin nhắn thông báo.

 

Mặc dù quản trị viên luôn có thể yêu cầu mã hóa TLS cho các tuyến thư bất kỳ lúc nào, nhưng trước đây nó đã bị tắt theo mặc định. Lưu ý rằng các tuyến thư hiện tại sẽ không bị ảnh hưởng bởi những thay đổi này.

 

Ai bị ảnh hưởng

Quản trị viên

 

Tại sao lại quan trọng

 

Google luôn khuyến nghị quản trị viên kích hoạt các tính năng bảo mật thư hiện có, bao gồm SPF, DKIM và DMARC, để giúp bảo vệ người dùng cuối. Google cũng khuyên các quản trị viên nên bật MTA Strict Transport Security (MTA-STS), giúp cải thiện bảo mật Gmail bằng cách yêu cầu kiểm tra xác thực và mã hóa cho email được gửi đến miền của họ. Việc bật TLS theo mặc định trên các tuyến thư SMTP mới giúp tăng cường lớp bảo mật của khách hàng đồng thời cho phép quản trị viên kiểm tra các kết nối trước khi thực thi TLS trên các tuyến hiện có giúp họ dễ dàng triển khai các chính sách bảo mật thực tiễn tốt nhất.

 

Thay đổi này sẽ không ảnh hưởng đến các tuyến thư đã được tạo trước đó.

 

Chi tiết thêm

 

TLS được bật mặc định trên tất cả định tuyến mail mới

 

Với TLS được bật theo mặc định cho các tuyến thư mới, tất cả các yêu cầu xác thực chứng chỉ cũng được bật theo mặc định. Điều này đảm bảo rằng máy chủ người nhận có chứng chỉ được cấp cho đúng máy chủ đã được ký bởi Cơ quan cấp chứng chỉ tin cậy (Certificate Authority – CA). Xem thêm chi tiết về cách chúng tôi thay đổi các yêu cầu đối với các CA đáng tin cậy bên dưới.

 

Quản trị viên vẫn có thể tùy chỉnh cài đặt bảo mật TLS của họ trên các tuyến thư mới được tạo. Ví dụ: nếu thư được chuyển tiếp đến máy chủ thư của bên thứ ba hoặc tại mail server đang chứng chỉ CA nội bộ, quản trị viên có thể cần phải tắt xác thực chứng chỉ CA. Không nên vô hiệu hóa xác thực chứng chỉ CA hoặc thậm chí vô hiệu hóa hoàn toàn TLS. Chúng tôi khuyến khích quản trị viên kiểm tra cấu hình TLS SMTP của họ trong Bảng điều khiển dành cho quản trị viên để xác thực kết nối TLS với các máy chủ thư của mình trước khi vô hiệu hóa mọi xác nhận được đề xuất. Xem thêm chi tiết về cách kiểm tra kết nối TLS trong Bảng điều khiển dành cho quản trị viên.

 

Tổ chức chứng nhận không tin tưởng vào Gmail

Trước đây, Google Security Blog đã nhấn mạnh các trường hợp Chrome không còn tin tưởng các chứng chỉ CA gốc được sử dụng để chặn lưu lượng truy cập trên internet công cộng và Chrome không tin tưởng các CA cụ thể.

 

Nếu các kịch bản này xảy ra trong tương lai, các chứng chỉ này cũng sẽ bị Gmail không tin tưởng. Khi điều này xảy ra, thư được gửi bằng các tuyến phải được mã hóa TLS có thực thi chứng chỉ do CA ký có thể bị trả lại nếu CA không còn đáng tin cậy. Mặc dù danh sách chứng chỉ gốc được Gmail tin cậy có thể được truy xuất từ kho lưu trữ của Google Trust Services, chúng tôi khuyến khích quản trị viên sử dụng tính năng Kiểm tra kết nối TLS trong bảng điều khiển dành cho quản trị viên để xác nhận xem chứng chỉ có bị mất lòng tin hay không.

 

Kiểm tra kết nối TLS trong Admin console

 

Quản trị viên hiện có thể sử dụng tính năng Kiểm tra kết nối TLS mới để xác minh xem liệu tuyến thư có thể thiết lập thành công kết nối TLS với xác thực đầy đủ đến bất kỳ đích nào không, chẳng hạn như máy chủ thư on-premise hoặc chuyển tiếp thư của bên thứ ba, trước khi thực thi TLS cho thư đó.

 

Bắt đầu

 

Quản trị viên:

Thiết lập TLS

TLS sẽ được BẬT theo mặc định cho tất cả các tuyến thư mới. Chúng tôi khuyên các quản trị viên nên xem xét tất cả các tuyến hiện có của họ và cũng cho phép tất cả các tùy chọn bảo mật TLS được đề xuất cho các tuyến này.

 

Kiểm tra kết nối TLS

Quản trị viên muốn yêu cầu kết nối TLS an toàn cho email, nay đã có thể xác minh rằng kết nối đến máy chủ thư của người nhận là hợp lệ chỉ bằng cách nhấp vào nút Kiểm tra Kết nối TLS trong Bảng điều khiển dành cho quản trị viên; họ không còn cần phải đợi email bị trả lại.

Xem thêm về ryêu cầu mail được định tuyến thông qua kết nối an toàn (TLS) thêm định tuyến trong Help Center.

 

Cải thiện bảo mật email trong Gmail với giao thức TLS mặc định và các tính năng mới khác

Tất cả các xác nhận chứng chỉ hiện được bật theo mặc định khi tạo cài đặt tuân thủ TLS mới.

 

 

Cải thiện bảo mật email trong Gmail với giao thức TLS mặc định và các tính năng mới khác

TLS và tất cả các xác nhận chứng chỉ hiện được bật theo mặc định khi tạo tuyến thư mới.

 

Người dùng cuối: Không có thiết lập cho người dùng cuối.

 

Tốc độ triển khai

  • Rapid and Scheduled Release: Triển khai mở rộng (có khả năng dài hơn 15 ngày để hiển thị tính năng) bắt đầu từ ngày 2 tháng 4 năm 2020

 

Khả dụng

  • Tất cả các khách hàng G Suite

 

 

 

Nguồn: Gimasys.

Kiến thức

Trung tâm cập nhật và hỗ trợ dành cho quản trị viên và người dùng