Crittografia per i dati in transito

  • Articolo

Oltre a proteggere i dati dei clienti inattivi, Microsoft usa tecnologie di crittografia per proteggere i dati dei clienti in transito. I dati sono in transito:

  • Quando un computer client comunica con un server Microsoft;
  • Quando un server Microsoft comunica con un altro server Microsoft; E
  • Quando un server Microsoft comunica con un server non Microsoft (ad esempio, Exchange Online recapita la posta elettronica a un server di posta elettronica di terze parti).

Le comunicazioni tra data center tra server Microsoft avvengono tramite TLS o IPsec e tutti i server rivolti ai clienti negoziano una sessione sicura usando TLS con computer client (ad esempio, Exchange Online usa TLS 1.2 con potenza di crittografia a 256 bit (viene usato fips 140-2 livello 2 convalidato). Per un elenco di suite di crittografia TLS supportate da Microsoft 365, vedere Informazioni di riferimento tecniche sulla crittografia. Questo vale per i protocolli usati da client come Outlook, Skype for Business, Microsoft Teams e Outlook sul web ,ad esempio HTTP, POP3 e così via.

I certificati pubblici vengono rilasciati da MICROSOFT IT SSL usando SSLAdmin, uno strumento Microsoft interno per proteggere la riservatezza delle informazioni trasmesse. Tutti i certificati emessi da Microsoft IT hanno una lunghezza minima di 2048 bit e la conformità Webtrust richiede SSLAdmin per assicurarsi che i certificati vengano rilasciati solo agli indirizzi IP pubblici di proprietà di Microsoft. Tutti gli indirizzi IP che non soddisfano questo criterio vengono instradati tramite un processo di eccezione.

Tutti i dettagli di implementazione, ad esempio la versione di TLS in uso, se Forward Secrecy (FS) è abilitato, l'ordine dei pacchetti di crittografia e così via, sono disponibili pubblicamente. Un modo per visualizzare questi dettagli consiste nell'usare un sito Web di terze parti, ad esempio Qualys SSL Labs. Di seguito sono riportati i collegamenti alle pagine di test automatizzate di Qualys che visualizzano informazioni per i servizi seguenti:

Per Exchange Online Protection, gli URL variano in base ai nomi dei tenant. Tuttavia, tutti i clienti possono testare Microsoft 365 usando microsoft-com.mail.protection.outlook.com.