Yahoo! Mail och SSL/TLS


Recommended Posts

Yahoo! Mail har hittills erbjudit krypterad anslutning till webbmailsidan endast vid inloggning och kontohantering. All e-posthantering har skett via okrypterad anslutning (http), vilket gör det möjligt för en hackare att komma åt e-posten om ett oskyddat nätverk används. Mer om det i

.

 

Efter den aktuella XSS-sårbarheten har Yahoo! äntligen aktiverat möjligheten att alltid använda krypterad anslutning.

 

post-7701-0-15837400-1372491074.png

 

Aktivera SSL: Öka säkerheten för Yahoo! Mail med SSL (hindra andra från att komma åt ditt konto på Internet-kaféer)

 

För att aktivera: logga in på Yahoo!-sidan, gå till e-post, E-postalternativ > Allmänt. Markera ”Aktivera SSL”.

 

post-7701-0-59410300-1372491729_thumb.pn

 

Yahoo! Hjälp: What is SSL, and does Yahoo! Mail offer it? | How to enable or disable SSL

 

I Gmail är https sedan länge aktiverat som standard. Om någon har ett gammalt Gmail-konto, där https inte är aktiverat, kan det aktiveras i Inställningar > Allmänt.

 

För Hotmail finns inställningen här: https://account.live.com/ManageSSL

Edited by JoWa
Link to comment
Share on other sites

Ett tips till Chrome-användare är att gå till chrome://net-internals/#hsts och lägga till mail.yahoo.com och login.yahoo.com i HSTS-listan. Markera “Include subdomains”.

 

Såvitt jag vet, är det inte möjligt för användaren att lägga till ”HSTS-domäner” i Firefox.

 

Men Yahoo!-domänerna läggs nog snart till i Googles HSTS-lista, som även används i Firefox.

Link to comment
Share on other sites

Yahoo! Mail för Android uppdaterades 14 januari till version 2.0.6:

  • Vi har döpt om programmet till Y! Mail, missa inte det i dina appar
  • Bättre batteriprestanda
  • Ökad stabilitet
  • Ökad säkerhet med SSL aktiverat som standard
  • Mer tillförlitliga push-meddelanden
  • Nytt gränssnitt

Inget om SSL i nyheterna i senaste Yahoo! Mail för iOS.

 

Förhoppningsvis blir det snart aktiverat som standard i webbversionen också.

Link to comment
Share on other sites

  • 8 months later...

Ett år efter att Yahoo! Mail gjordes tillgängligt över HTTPS (januari 2013) kommer nästa steg att tas: 

 

Yahoo to make SSL encryption the default for Webmail users. Finally. (The Washington Post)

 

Bättre sent än aldrig, men flera år tidigare hade varit mycket bättre.

 

Yahoo!s serverkonfiguration lämnar också mycket att önska. Den är riktigt dålig: https://www.ssllabs.com/ssltest/analyze.html?d=mail.yahoo.com

Link to comment
Share on other sites

  • 2 months later...

Alternativet Aktivera SSL är nu borttaget. TLS (undantagsvis, t.ex. med IE6, SSL) är nu standard.

 

post-7701-0-69903300-1389082253_thumb.pn

 

Samtidigt har krypteringen förbättrats en aning, genom att protokollen TLS 1.2 och TLS 1.1 nu stöds. Stöd för det gamla och mycket osäkra protokollet SSL 2 har äntligen tagits bort. Dock används (föredras) alltjämt det osäkra chiffret RC4, med SHA-1 för autentisering. Hela listan (i föredragen ordning):

  • TLS_RSA_WITH_RC4_128_SHA (0x5) 128
  • TLS_RSA_WITH_RC4_128_MD5 (0x4) 128
  • TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
  • TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
  • TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) 128
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168

post-7701-0-12293600-1389082587.png

 

Av de stödda chiffren vore det bättre att servern föredroge TLS_RSA_WITH_AES_256_CBC_SHA, men än bättre vore AES_GCM.

 

TIllägg: HTTPS Now Default in Yahoo Mail

Edited by JoWa
Link to comment
Share on other sites

Uppdatering angående stödda chiffersviter för se-mg40.mail.yahoo.com. Aktuell lista:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
  • TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) 256
  • TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
  • TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) 128
  • TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168
  • TLS_RSA_WITH_RC4_128_SHA (0x5) 128
  • TLS_RSA_WITH_RC4_128_MD5 (0x4) 128

ECDHE_RSA innebär att framåtsekretess (”FS” i listan) stöds.

 

post-7701-0-55155000-1389389477.png

 

Konstigt nog är säkerheten för login.yahoo.com mycket svagare:

  • TLS_RSA_WITH_RC4_128_MD5 (0x4) 128
  • TLS_RSA_WITH_RC4_128_SHA (0x5) 128
  • TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
  • TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) 128
  • TLS_RSA_WITH_SEED_CBC_SHA (0x96) 128
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168
  • TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
  • TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) 256

RSA innebär att framåtsekretess inte stöds. Bästa stödda krypteringsprotokoll är TLS 1.0.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share