最新公告 |
雅虎郵箱將默認HTTPS加密
發布時間:2014-01-16 10:32:52
從今天開始,雅虎將成為默認的加密連接來做到這一點,谷歌Gmail用戶已經采取了同樣的措施2010年,所有的消息。
雅虎在去年十月宣布的消息加密,今年1月8日,雅虎已經使用SSL加密是默認的瀏覽器,約2億雅虎郵箱用戶提高安全性能。
升級意味著,雅虎郵箱用戶不再需要手動啟用該帳戶的SSL加密,這種加密方法是在瀏覽器和Web服務器之間的數據傳輸雅虎做加密處理,目的是確保用戶的真實性訪問網站。
“您使用雅虎郵箱的任何時間 - 默認加密是100 % ,而使用2048字節的證書保護 - 通過計算機的網絡,移動設備,網絡,移動應用程序或IMAP,POP或SMTP ”雅虎通信產品部高級副總裁杰夫· Bonforte寫在公司的博客。
據托德比爾茲利波士頓安全公司Rapid7的Metasploit的項目經理雖然雅虎用戶的默認密碼是個好消息,但它是安全的,因為Facebook,Twitter和谷歌先前部署HTTPS部署。
“雅虎已經表示,雖然所有的雅虎郵箱用戶的HTTPS加密啟用,但這一措施不僅是一個有點晚了,但也帶來了新的問題。雅虎不支持PFS (完全正向保密) , ”比亞茲萊告訴ZDNet記者。
PFS可以防止回顧解密(加密黑客現在捕獲的對話,但不能得到解密密鑰一次。 )在案發后黑客獲得密鑰 - 例如,通過入侵雅虎的服務器,或法院命令 - 才可以解密截獲的對話。
實用的PFS生成的密鑰是暫時的,如果截獲的被攻擊者,攻擊者會感到更加困難。
“如果使用了PFS,那么HTTPS對話開幕前,會有另一個加密的對話,所以當前的關鍵是無效的,即使攻擊者獲得一個臨時密鑰,則密鑰也只適用于該對話。他們需要找回解密的對話每一個新的唯一關鍵。 “
谷歌, Facebook和Twitter使用橢圓曲線Diffie - Hellman交換,因為這種方法可以生成一個一次性密鑰。
“我找不到喜歡不那么強大的加密策略一個很好的理由, ”他說雅虎加密部署。
谷歌在2010年啟用了默認的SSL加密,在2011默認的SSL登錄使用戶能夠搜索進行加密,而現在所有的搜索服務,啟用SSL加密。十一月份,谷歌將所有SSL證書升級到2048字節的RSA ,密鑰長度的增加使黑客更難破解SSL連接。
雅虎計劃在默認情況下實現加密,之后美國對美國主要的互聯網公司美國國家安全局的間諜在斯諾登程序披露。
雅虎還擔任美國國家安全局作出回應,雅虎答應把所有傳入的數據從互聯網到其服務器和加密的數據中心,這是對國家安全局“Muscular”的項目作出響應之間傳輸的所有數據,因為“Muscular” ,是用雅虎和谷歌的數據中心之間的聯系的加密。