A Yahoo néhány napja még a hirdetési platformján keresztül terjedő malware-ek miatt szerepelt a lapok hasábjain, így kapóra jót, hogy a vállalat által tavaly októberben beígért HTTPS titkosítás alapértelmezetté tételének határideje a Yahoo Mail szolgáltatás esetében pont az előbb említett incidenst követő néhány nap elteltére, január 8-ra esett.

Bár az SSL kapcsolatot a Yahoo Mail használói korábban is beállíthatták, ezt a funkciót sokan szerették volna alapértelmezettként látni a levelezőben, a Yahoo pedig tartotta magát az eredeti vállalásához, és két napja már alapból 2048 bites kulcsú tanúsítványokat használó SSL titkosítással védett csatornán zajlik a kommunikáció a cég szerverei és a felhasználók gépei között. A titkosítás minden esetben él, tehát teljesen mindegy, hogy asztali vagy mobilos böngészőről, önálló alkalmazásból és IMAP, POP vagy SMTP protokollt használva vesszük igénybe a Yahoo Mailt, és a levelezésen túl kiterjed a naptárra, a névjegyzékre és a Messengerre is.

Egy bostoni biztonságtechnikai cég, a Rapid7 egyik szakértője a ZDNetnek nyilatkozva felhívta a figyelmet a megoldás hiányosságaira is. Tod Beardsley szerint érthetetlen, hogy a Yahoo miért nem támogatja a PFS-t (Perfect Forward Secrecy), hogy illetéktelenek utólag se dekódolhassák a titkosított adatfolyamot az ehhez szükséges privát kulcs későbbi megszerzésével.

A Google 2010-ben tette alapértelmezetté az SSL titkosítást a Gmailben, 2011 óta pedig a keresések is titkosított csatornán zajlanak. A cég tavaly novemberben állt át a 2048 bites RSA kulcsokat használó SSL tanúsítványokra, miután kiderült, hogy az NSA közvetlenül a cég adatközpontjai közötti titkosítatlan adatforgalmat figyelte meg. Bár lehet, hogy ennél többre lesz szükség, azóta ugyanis az is kiszivárgott, az NSA valószínűleg az RSA-t is lefizette, hogy az kiskaput építsen az általa fejlesztett titkosítási algoritmusokba.