Google heeft de overstap naar 2048-bit SSL-certificaten eerder afgerond dan gepland, wat gebruikers beter tegen afluisteren moet beschermen. Vanwege de veiligheid en privacy van gebruikers besloot Google in mei om alle SSL-certificaten van sterkere encryptiesleutels te voorzien.
Oorspronkelijk stond deze migratie voor eind 2013 gepland, maar security-engineer Dan Dulay meldt nu dat Google alleen nog 2048-bit SSL-certificaten gebruikt en daarmee de planning eerder heeft afgerond dan verwacht. Door de migratie kan de industrie volgens Dulay volgend jaar beginnen om 1024-bit certificaten van Google niet meer te vertrouwen.
De security-engineer merkt op dat de vertrouwelijkheid van SSL-verbindingen met de diensten van Google nooit afhankelijk waren van de 1024-bit RSA-encyptiesleutels die het gebruikte, omdat de zoekgigant perfect forward secrecy gebruikt. Hierbij wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het afgelopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de sessie van gebruikers.
Dulay stelt dat het verdwijnen van 1024-bit RSA-encryptiesleutels in de gehele industrie een goed iets is, mede gezien de omvangrijke overheidssurveillance die onlangs aan het licht is gekomen. Wat betreft de eigen 1024-bit certificaten zegt Google dat de hardware security module (HSM) waar de encryptiesleutel in was opgeslagen inmiddels vernietigd is.
Deze posting is gelocked. Reageren is niet meer mogelijk.