Yahoo verschlüsselt jetzt – fast alles

Yahoo verschlüsselt seit Anfang des Monats sämtliche Kommunikation zwischen seinen internen Servern. Das geht aus einer Meldung des Chief Information Security Officer der Firma hervor. Yahoo liegt somit genau im Zeitplan. Die Firma hatte im November in Reaktion auf Enthüllungen Edward Snowdens angekündigt, die interne Kommunikation verschlüsseln zu wollen. Snowden hatte offengelegt, dass sich die NSA Zugang zum internen Datenverkehr von Yahoo und Google verschafft habe.

Die Hauptseiten von Yahoo, inklusive des Webmail-Interfaces und des neuen News-Dienstes Digital Magazines, unterstützen TLS 1.2, Forward Secrecy und 2048-Bit-Zertifikate. An einer verschlüsselten Version des Yahoo Messengers werde derzeit gearbeitet. Bereits Anfang Januar hatte Yahoo HTTPS standardmäßig für alle Nutzer des eigenen E-Mail-Dienstes aktiviert. Damit werden alle E-Mails auf dem Transport zwischen Yahoo-Servern und anderen Servern, die TLS-Verbindung unterstützen, verschlüsselt übertragen.

E-Mail-Verschlüsselung überzeugt noch nicht

Die Firma hat zwar an der Verschlüsselung gearbeitet, aber dabei noch längst kein gutes Ergebnis erzielt. So lieferte soeben ein Yahoo-Server eine Test-Mail von Yahoo immer noch unverschlüsselt beim Heise-Server an, der durchaus bereit gewesen wäre, eine Verschlüsselung auszuhandeln. Der Kurztest von heise Security zeigte darüber hinaus, dass der Mail-Server für den Versand von Mail (smtp.mail.yahoo.com) und die POP- und IMAP-Server zum Abholen der Mails lediglich das als geknackt geltende Verschlüsselungsverfahren RC4 beherrschen (TLSv1, RC4-SHA). Das Web-Frontend für E-Mail bietet zwar Forward Secrecy mit TLS v1.2, aber kein HSTS – das solle "in den kommenden Monaten" folgen, so Yahoo.

Damit hätte Yahoo im letzten Vergleichstest der c't immer noch keinen der vorderen Plätze belegt. (fab)