Criptografia para dados em trânsito

  • Artigo

Além de proteger os dados do cliente em repouso, a Microsoft usa tecnologias de criptografia para proteger os dados do cliente em trânsito. Os dados estão em trânsito:

  • Quando um computador cliente se comunica com um servidor Microsoft;
  • Quando um servidor Microsoft se comunica com outro servidor Microsoft; E
  • Quando um servidor Microsoft se comunica com um servidor que não seja da Microsoft (por exemplo, o Exchange Online entrega emails para um servidor de email de terceiros).

As comunicações entre os servidores da Microsoft ocorrem por TLS ou IPsec, e todos os servidores voltados para o cliente negociam uma sessão segura usando TLS com computadores cliente (por exemplo, Exchange Online usa o TLS 1.2 com a força de criptografia de 256 bits é usada (FIPS 140-2 Nível 2 validado). (Confira Detalhes de referência técnica sobre criptografia para obter uma lista de pacotes de criptografia TLS compatíveis com o Microsoft 365.) Isso se aplica aos protocolos usados por clientes como Outlook, Skype for Business, Microsoft Teams e Outlook na Web (por exemplo, HTTP, POP3 etc.).

Os certificados públicos são emitidos pelo SSL de TI da Microsoft usando o SSLAdmin, uma ferramenta interna da Microsoft para proteger a confidencialidade das informações transmitidas. Todos os certificados emitidos pela TI da Microsoft têm um mínimo de 2.048 bits de comprimento, e a conformidade com o Webtrust requer o SSLAdmin para garantir que os certificados sejam emitidos apenas para endereços IP públicos de propriedade da Microsoft. Todos os endereços IP que não atendem a esse critério são roteado por meio de um processo de exceção.

Todos os detalhes da implementação, como a versão do TLS que está sendo usado, se o Segredo de Encaminhamento (FS) está habilitado, a ordem dos pacotes de criptografia, etc., estão disponíveis publicamente. Uma maneira de ver esses detalhes é usar um site de terceiros, como o Qualys SSL Labs. Veja abaixo os links para páginas de teste automatizadas do Qualys que exibem informações para os seguintes serviços:

Para Proteção do Exchange Online, as URLs variam de acordo com os nomes de locatário; no entanto, todos os clientes podem testar o Microsoft 365 usando microsoft-com.mail.protection.outlook.com.