Toate domeniile de cautare Google vor utiliza protocolul HTTPS in mod implicit

Adoptarea constanta a SSL de catre cele mai renumite site-uri continua cu domeniii de cautare Google de la nivel mondial care vor beneficia de criptare HTTPS in mod implicit.

Compania a introdus in toamna HTTPS in mod implicit pentru domeniul sau mondial .com, si care este disponibil pentru toti utilizatorii ce sunt logati pe un serviciu Google, cum ar fi blogger.com. Acest lucru inseamna ca odata pus in aplicare, utilizatorii vor trebui in continuare sa fie logati intr-un serviciu Google pentru a accesa cautarea HTTPS.

Pentru utilizatorii de Google, cautarea criptata va insemna ca un site poate vedea atunci cand un utilizator vine de pe Google, dar nu va putea vedea si termenii introdusi in motorul de cautare. De asemenea, protejeaza aceste date in timp ce este folosita o conexiune WiFi nesecurizata.

Twitter adopta HTTPS ca protocol de transfer implicit

Twitter a activat Secure Hypertext Transfer Protocol (HTTPS) ca protocol implicit pentru toti utilizatorii sai, ceea ce inseamna ca traficul de pe site-ul de microblogging este acum criptat, oferind o mai buna protectie impotriva atacurilor de tip man-in-the-middle.

HTTPS cripteaza informatiile inca din momentul logarii, prevenind interceptarea lor. Twitter, care a pus la dispozitia utilizatorilor optiunea HTTPS pentru prima data in luna martie a anului trecut, a declarat ca este deosebit de importanta utilizarea protocolului criptat atunci cand reteaua de socializare se acceseaza printr-o conexiune la internet nesecurizata, cum ar fi un hotspot Wi-Fi public. Utilizatorii au optiunea de a dezactiva HTTPS prin intermediul paginii Account Settings.

Initiativa a fost felicitata de catre firma de securitate Sophos, care a declarat ca utilizarea unui hotspot Wi-Fi public pentru a accesa Twitter, fara HTTPS, ar putea permite unui hacker sa intercepteze informatii sensibile, acest lucru insemnand ca ar putea posta tweeturi in locul dvs. sau ca v-ar putea citi mesajele private.

Google a devenit una dintre primele companii majore de pe internet ce a adoptat HTTPS pentru toate site-urile sale, in ianuarie 2010. Reteaua sociala Google+ are protocolul HTTPS activat inca din momentul lansarii.

Cu toate acestea, in cazul Facebook, HTTPS inca este dezactivat in mod implicit, in ciuda faptului ca utilizatorii au optiunea de a-l activa inca de acum un an.

Google isi protejeaza traficul HTTPS impotriva atacurilor viitoare

Google a modificat metoda de criptare utilizata de catre serviciile sale ce utilizeaza HTTPS, printre care Gmail, Docs si Google+, in scopul de a preveni traficul actual sa fie decriptat in viitor, atunci cand progresele tehnologice vor face acest lucru posibil.

Majoritatea implementarilor HTTPS de astazi utilizeaza o cheie privata cunoscuta doar de catre proprietarul numelui de domeniu pentru a genera chei de sesiune de transmitere a datelor care sunt ulterior utilizate pentru a cripta traficul dintre serverele si clientii lor.

Aceasta abordare expune conexiunile la asa-numitele atacuri de decriptare retroactive. "Dupa zece ani, cand computerele vor fi mult mai rapide, un hacker ar putea sparge sau fura cheia privata a serverului si ar putea decripta retroactiv traficul de email din prezent", a explicat intr-un post pe blog Adam Langley, un membru al echipei de securitate Google.

In scopul de a diminua acest risc de securitate relativ scazut, dar real, Google a implementat o proprietate de criptare cunoscuta sub numele de "secretul transmiterii", care implica utilizarea de chei private diferite pentru a cripta sesiunile de transmitere a datelor si a le sterge dupa o perioada de timp.

"In acest fel, un atacator care reuseste sa sparga sau sa fure o cheie unica nu va fi capabil sa decripteze o cantitate semnificativa a traficului de e-mail care se intinde pe luni de activitate", a spus Langley. Acesta a subliniat ca nici macar administratorul de server nu va fi capabili sa decripteze traficul HTTPS retroactiv.

Deoarece SSL nu a fost conceput in mod implicit sa sprijine mecanismele cheie de schimb capabile de a pastra secretul transmiterii, inginerii de la Google au trebuit sa conceapa o extensie pentru popularul OpenSSL toolkit. Acesta a fost integrat in OpenSSL 1.0.1, care nu a fost inca lansat ca versiune stabila.

Noua implementare HTTPS de la Google utilizeaza ECDHE_RSA pentru schimbul de cheie si cifrul RC4_128 pentru criptare. Din pacate, aceasta combinatie este momentan acceptata numai in Firefox si Chrome, ceea ce inseamna ca conexiunile HTTPS din Internet Explorer nu vor beneficia de acest plus de securitate.

Acest lucru nu este neaparat o problema pentru Internet Explorer, care suporta o combinatie de EDH (Ephemeral Diffie-Hellman) pentru schimbul de cheie si RC4 pentru criptare. EDH include de asemenea secretul transmiterii, dar Google a ales ECDHE (Elliptic curve Diffie-Hellman) din motive de performanta.

Google intentioneaza sa adauge suport si pentru IE in viitor si spera ca exemplul sau sa incurajeze si alti prestatori de servicii care utilizeaza HTTPS sa implementeze secretul transmiterii, astfel incat intr-o buna zi sa devina metoda principala de criptare a traficului online.