從昨日起，雅虎將對所有郵件連接做默認(rèn)加密，這和2010年谷歌為Gmail用戶所采取的措施一樣。

雅虎去年10月就宣布要對郵件加密，到今年1月8號，雅虎已經(jīng)在瀏覽器中默認(rèn)使用SSL加密，為大約兩億雅虎郵箱用戶提升安全性能。

這一提升意味著雅虎郵箱的用戶不再需要手動為賬戶啟用SSL加密，這種加密方式是將瀏覽器和雅虎Web服務(wù)器之間的數(shù)據(jù)傳輸做加密處理，目的是確保用戶所訪問網(wǎng)站的真實(shí)性。

“任何時候你使用雅虎郵箱——通過電腦網(wǎng)頁，移動設(shè)備網(wǎng)頁，移動應(yīng)用或是IMAP，POP或SMTP——都是百分之百默認(rèn)加密的，而且使用2048字節(jié)的證書保護(hù)，”雅虎通信產(chǎn)品SVP Jeff Bonforte在公司博客中寫道。

據(jù)波士頓安全公司Rapid7 的Metasploit工程經(jīng)理Tod Beardsley雖然默認(rèn)加密對雅虎用戶而言是好消息，但它的安全性不如Facebook，Twitter和谷歌以前部署HTTPS部署。

“雅虎稱雖然已經(jīng)為所有雅虎郵件用戶啟用了HTTPS加密，但這一措施不僅來得有點(diǎn)晚，而且還帶來了新的問題。雅虎不支持PFS(Perfect Forward Secrecy)，”Beardsley向ZDnet記者透露。

PFS可以阻止Retrospective Decryption(黑客現(xiàn)在捕獲的加密對話，但無法立刻獲取解密的密鑰。)萬一以后黑客獲取密鑰——比如通過入侵雅虎服務(wù)器，或法院指令——他們就可以解密之前截獲的對話。

在PFS下生成的密鑰的效用是臨時的，如果被攻擊者截獲，會讓攻擊者感到更棘手。

“如果使用PFS，那么在HTTPS對話開啟之前，就會出現(xiàn)另一個加密的對話，這樣當(dāng)前密鑰就無效。即便有攻擊者獲取了一個臨時密鑰，那這個密鑰也僅對那個對話有效。他們需要為每個解密的對話重新弄一個新的唯一的密鑰。”

谷歌，F(xiàn)acebook和Twitter則使用Elliptical Curve Diffie-Hellman Exchange，因?yàn)榇朔梢陨梢粋€一次性的密鑰。

“我找不到一個合理的理由來喜歡這個功能較弱的加密策略，”他如此評論雅虎的加密部署。

谷歌在2010年啟用了默認(rèn)的SSL加密，在2011年對登錄用戶啟用默認(rèn)SSL搜索加密，現(xiàn)在又為所有的搜索服務(wù)啟用了SSL加密。在11月，谷歌將所有SSL證書升級到了2048字節(jié)的RSA，密鑰長度增加使得黑客更難破解SSL連接。

雅虎計劃實(shí)施默認(rèn)加密，是在斯諾登揭露美國NSA針對美國主要互聯(lián)網(wǎng)公司的間諜項目之后。

雅虎也對NSA的行為做出了響應(yīng)，雅虎承諾要把所有從互聯(lián)網(wǎng)傳入其服務(wù)器的數(shù)據(jù)以及在其數(shù)據(jù)中心之間傳輸?shù)臄?shù)據(jù)全部加密，而后者就是對NSA“Muscular”項目做出的回應(yīng)，因?yàn)?ldquo;Muscular”利用的就是雅虎和谷歌數(shù)據(jù)中心之間未加密的鏈接。