Den mest nytänkande featuren tycker jag är den här:
Chromium 13: built-in certificate pinning and HSTS
...
As of Chromium 13, all connections to Gmail will be over HTTPS. This includes the initial navigation even if the user types “gmail.com” or “mail.google.com” into the URL bar without an https:// prefix, which defends against sslstrip-type attacks.
The same HSTS technology also prevents users from clicking through SSL warnings for things such as a self-signed certificate. These attacks have been seen in the wild, and users have been known to fall for such attacks. Now there’s a mechanism to prevent them from doing so on sensitive domains.
In addition in Chromium 13, only a very small subset of CAs have the authority to vouch for Gmail (and the Google Accounts login page). This can protect against recent incidents where a CA has its authority abused, and generally protects against the proliferation of signing authority.
Tre saker händer alltså:
- Gmail kommer bara gå att komma åt via SSL-anslutning oavsett vad. Kommer detta bara vara så för gmail, eller kan man "ansöka" hos Google om att få sin site med på listan? Kanske Paypal vore nice, som för tillfället är inblandat i att stämma Google i ett helt annat ärende?
- Självsignerande cert b-gone. Google har säkerligen väldigt bra (och hög) statistik som tydligt visar att användare inte ses som pålitliga i det här avseendet. Yay!
- Gmail.com kommer bara acceptera SSL-certifikat från ett mycket litet antal CAs. Jag utgår från att det här är modifierbart på klienten så att även företag som MITM:ar https kan fortsätta göra det. Även det här väcker frågan hur "pinning" av SSL-certs ska skötas långsiktigt.
Jag skulle säga att Google gör vad de kan med de resurser som finns inom deras direkta kontroll. Och det ska bli intressant att se hur övriga aktörer på Internet nu reagerar på det.
Inga kommentarer:
Skicka en kommentar