Crittografia per i dati in transito
Oltre a proteggere i dati dei clienti inattivi, Microsoft usa tecnologie di crittografia per proteggere i dati dei clienti in transito. I dati sono in transito:
- Quando un computer client comunica con un server Microsoft;
- Quando un server Microsoft comunica con un altro server Microsoft; e
- Quando un server Microsoft comunica con un server non Microsoft (ad esempio, Exchange Online recapita la posta elettronica a un server di posta elettronica di terze parti).
Le comunicazioni tra data center tra server Microsoft avvengono tramite TLS o IPsec e tutti i server rivolti ai clienti negoziano una sessione sicura usando TLS con i computer client. Ad esempio, Exchange usa TLS 1.2 con potenza di crittografia a 256 bit (convalidata da FIPS 140-2 livello 2). Per un elenco di suite di crittografia TLS supportate da Microsoft 365, vedere Informazioni di riferimento tecniche sulla crittografia . Questo vale per i protocolli usati da client come Outlook, Microsoft Teams e Outlook sul Web ,ad esempio HTTP, POP3 e così via.
I certificati pubblici vengono rilasciati da MICROSOFT IT SSL usando SSLAdmin, uno strumento Microsoft interno per proteggere la riservatezza delle informazioni trasmesse. Tutti i certificati emessi da Microsoft IT hanno una lunghezza minima di 2048 bit e la conformità Webtrust richiede SSLAdmin per assicurarsi che i certificati vengano rilasciati solo agli indirizzi IP pubblici di proprietà di Microsoft. Tutti gli indirizzi IP che non soddisfano questo criterio vengono instradati tramite un processo di eccezione.
Tutti i dettagli di implementazione, ad esempio la versione di TLS in uso, se forward secrecy è abilitato, l'ordine dei pacchetti di crittografia e così via, sono disponibili pubblicamente. Un modo per visualizzare questi dettagli consiste nell'usare un sito Web di terze parti, ad esempio Qualys SSL Labs. Di seguito sono riportati i collegamenti alle pagine di test automatizzate di Qualys che visualizzano informazioni per i servizi seguenti:
Per Exchange Online Protection, gli URL variano in base ai nomi dei tenant; tuttavia, tutti i clienti possono testare Microsoft 365 usando microsoft-com.mail.protection.outlook.com.