De Amerikaanse burgerrechtenbeweging EFF heeft uitgehaald naar internetproviders die de e-mailencryptie van hun klanten strippen, waardoor de berichten onversleuteld worden verstuurd. Het gaat om zowel providers in de Verenigde Staten als Thailand die het STARTTLS-mechanisme van het e-mailverkeer van hun klanten verwijderen. STARTTLS is een belangrijke beveiligingsmaatregel die servers gebruiken om het e-mailverkeer tussen elkaar of clients te versleutelen.
Door het mechanisme te verwijderen voorkomt de provider dat de e-mailservers het e-mailverkeer versleutelen en zal de e-mail, tenzij de gebruiker zelf encryptie toepast, onversleuteld worden verstuurd. Een deel van het probleem ligt in het feit dat het STARTTLS-verzoek om versleuteld te communiceren zelf niet versleuteld is en daardoor kan worden gemanipuleerd. De EFF is daarom bezig STARTTLS te verbeteren. STARTTLS Everywhere, zoals de nieuwe versie wordt genoemd, moet encryptie tussen servers robuuster maken door encryptie te verplichten voor servers waarvan bekend is dat ze het ondersteunen.
Daarnaast roept de burgerrechtenbeweging providers op om direct te stoppen met deze werkwijze. "Internetproviders fungeren als een vertrouwde gateway naar het internet en het is een schending van dat vertrouwen om verkeer van gebruikers te onderscheppen of aan te passen, ongeacht het protocol dat hun klanten gebruiken", zegt Jacob Hoffman-Andrews van de EFF. Hij noemt het zelfs een dubbele schending als die aanpassingen ervoor zorgen dat de beveiligingsmaatregelen worden uitgeschakeld die gebruikers juist gebruiken om zichzelf te beschermen.
Deze posting is gelocked. Reageren is niet meer mogelijk.