Welche praktischen(!) Vorteile hat STARTTLS gegenüber implizitem TLS, konkret bei SMTP?
Wenn man in den einschlägigen Texten (z.B. RFC 8314) zwischen den Zeilen liest, kann man leicht das Gefühl bekommen, daß die Frage "STARTTLS oder eigener Port?" nicht nur eine praktische, sondern auch eine philosophisch-politische ist. Das passiert bei eigentlich rein technischen Themen ja gern mal...
Ich sehe vor allem zwei Argumente für STARTTLS:
Erstens, daß man nicht zwei Portnummern für einen Dienst verbrauchen sollte. Grundsätzlich vernünftig, auch wenn uns Ports vermutlich nicht so bald ausgehen werden wie IPv4-Adressen, und gerade bei SMTP TLS da ja nun das kleinste Problem ist. (25? 26?<sic!> 587? 2525?)
Und zweitens, daß Verschlüsselung Standard sein sollte und deshalb ein zweiter Port für verschlüsselte Verbindungen ein falsches Signal ist. Aber das war ja nur der Übergangszeit ein sinnvolles Argument. Oder weiß überhaupt noch jemand die unverschlüsselten Ports für POP3 und IMAP auswendig? 995 und 993 fallen einem doch inzwischen als erstes ein.
Gegen STARTTLS und für implizites TLS sprechen dagegen praktische Gründe:
Zum einen ist es einfacher zu implementieren und einfacher ist in der Regel auch sicherer.
Und zum anderen kann man bei einer Verbindung auf Port 465 sicher sein, daß sie auch wirklich verschlüsselt ist. Hat man dagegen Pech und Client und Server sind schlampig programmiert/konfiguriert, könnte es einem auf Port 25 oder 587 dagegen passieren, daß aus irgendwelchen Gründen nicht auf eine verschlüsselte Verbindung umgeschaltet wird und Paßwort und Mail unverschlüsselt über die Leitung gehen.
So gesehen sollte die Entscheidung für implizites TLS also ein No-Brainer sein, trotzdem scheint es darüber jahrelange Diskussionen gegeben zu haben.
Was übersehe ich?
