Google использует в Gmail HTTPS-протокол для обеспечения безопасного соединения серверов и браузеров по умолчанию. Однако многие почтовые провайдеры не шифруют сообщения, когда они находятся в пути. Следовательно, они могут быть перехвачены хакерами.
По данным Google, 57% писем, отправляемых пользователями других почтовых сервисов в Gmail, - зашифрованы (и 81% писем, отправляемых из Gmail). Трафик между почтовыми ящиками Gmail всегда зашифрован.
Совместное исследование Google, Мичиганского и Иллинойсского университетов показало, что 94% входящих писем в Gmail может быть аутентифицировано. В то же время, в глобальной сети есть участки, которые препятствуют шифрованию данных, не давая установить соединение SSL.
Команда сервиса также выявила ряд вредоносных DNS-серверов, которые пытались перехватить трафик. Хотя такие атаки редки, факт их существования беспокоит разработчиков, поскольку они дают возможность хакерам изменять содержимое сообщений до их получения пользователями.
Учитывая, что значительная часть email-провайдеров всё ещё не поддерживает шифрование данных, в ближайшие месяцы Gmail начнёт уведомлять пользователей в тех случаях, если письмо прошло через незащищённое соединение.
Напомним, что Google ввёл возможность постоянного использование протокола HTTPS для защиты почты с 2008 года. В 2010 году поисковый гигант принял решение об использовании HTTPS-соединения по умолчанию.
В марте 2014 года Google внедрил обязательное шифрование с использованием защищенного HTTPS-соединения абсолютно всех писем и действий пользователя в почтовом сервисе Gmail.
«Внедрение уведомлений об электронных письмах, поступивших через незащищенное соединение – это один из шагов Google в последовательной реализации поддержки HTTPS на всех своих сервисах. Стоит отметить, что в целом интерес к технологии защищенного соединения HTTPS за последнее время заметно увеличился. Только в зоне .RU количество валидных SSL-сертификатов за полгода увеличилось на 68% и превысило 120 тысяч. Такая динамика обусловлена ростом интернет-грамотности граждан с одной стороны и специальными программами участников отрасли, популяризирующими защиту пользовательских данных – с другой», – комментирует решение генеральный директор REG.RU Алексей Королюк.