通过SSL / TLS进行PLAIN身份验证

Question

如果我通过SSL或TLS连接到邮件服务器但使用PLAIN身份验证，那是否安全？

Answer 1

由于SSL / TLS连接已加密，因此将密码作为PLAIN文本发送不会造成任何损害。您也可以加密密码，但之后只需对其进行双重加密即可。在大多数情况下，我认为这是多余的。

如果您选择使用证书而不是密码进行身份验证，我可以考虑使用除了PLAIN over SSL / TLS以外的其他内容的一种情况。否则，我会把它留在PLAIN。

Answer 2

如果您确定在没有SSL的情况下永远不会使用您的应用程序，Ryan绝对是正确的。 SSL位于表示层，无论何时建立套接字连接，SSL握手都是首先发生的事情，包括主机验证，会话密钥交换和创建安全传输层。一旦建立了这个安全通道，就会发生应用层的通信，并且使用会话密钥对交换的数据进行加密，因此通信无论如何都是安全的。

但是，如果您的应用程序可以选择使用/不使用SSL，那么您应该单独加密密码。在使用SSL时，这将是多余的，但在其他情况下则是必要的。