Yahoo! Mail och SSL/TLS

[JoWa]

Yahoo! Mail har hittills erbjudit krypterad anslutning till webbmailsidan endast vid inloggning och kontohantering. All e-posthantering har skett via okrypterad anslutning (http), vilket gör det möjligt för en hackare att komma åt e-posten om ett oskyddat nätverk används. Mer om det i

.

 

Efter den aktuella XSS-sårbarheten har Yahoo! äntligen aktiverat möjligheten att alltid använda krypterad anslutning.

 

 

Aktivera SSL: Öka säkerheten för Yahoo! Mail med SSL (hindra andra från att komma åt ditt konto på Internet-kaféer)

 

För att aktivera: logga in på Yahoo!-sidan, gå till e-post, E-postalternativ > Allmänt. Markera ”Aktivera SSL”.

 

 

Yahoo! Hjälp: What is SSL, and does Yahoo! Mail offer it? | How to enable or disable SSL

 

I Gmail är https sedan länge aktiverat som standard. Om någon har ett gammalt Gmail-konto, där https inte är aktiverat, kan det aktiveras i Inställningar > Allmänt.

 

För Hotmail finns inställningen här: https://account.live.com/ManageSSL

Edited June 29, 2013 by JoWa

[JoWa]

Ett tips till Chrome-användare är att gå till chrome://net-internals/#hsts och lägga till mail.yahoo.com och login.yahoo.com i HSTS-listan. Markera “Include subdomains”.

 

Såvitt jag vet, är det inte möjligt för användaren att lägga till ”HSTS-domäner” i Firefox.

 

Men Yahoo!-domänerna läggs nog snart till i Googles HSTS-lista, som även används i Firefox.

[JoWa]

Yahoo! Mail för Android uppdaterades 14 januari till version 2.0.6:

• Vi har döpt om programmet till Y! Mail, missa inte det i dina appar
• Bättre batteriprestanda
• Ökad stabilitet
• Ökad säkerhet med SSL aktiverat som standard
• Mer tillförlitliga push-meddelanden
• Nytt gränssnitt

Inget om SSL i nyheterna i senaste Yahoo! Mail för iOS.

 

Förhoppningsvis blir det snart aktiverat som standard i webbversionen också.

[JoWa]

Ett år efter att Yahoo! Mail gjordes tillgängligt över HTTPS (januari 2013) kommer nästa steg att tas: 

 

Yahoo to make SSL encryption the default for Webmail users. Finally. (The Washington Post)

 

Bättre sent än aldrig, men flera år tidigare hade varit mycket bättre.

 

Yahoo!s serverkonfiguration lämnar också mycket att önska. Den är riktigt dålig: https://www.ssllabs.com/ssltest/analyze.html?d=mail.yahoo.com

[JoWa]

Alternativet Aktivera SSL är nu borttaget. TLS (undantagsvis, t.ex. med IE6, SSL) är nu standard.

 

 

Samtidigt har krypteringen förbättrats en aning, genom att protokollen TLS 1.2 och TLS 1.1 nu stöds. Stöd för det gamla och mycket osäkra protokollet SSL 2 har äntligen tagits bort. Dock används (föredras) alltjämt det osäkra chiffret RC4, med SHA-1 för autentisering. Hela listan (i föredragen ordning):

• TLS_RSA_WITH_RC4_128_SHA (0x5) 128
• TLS_RSA_WITH_RC4_128_MD5 (0x4) 128
• TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
• TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
• TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) 128
• TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168

 

Av de stödda chiffren vore det bättre att servern föredroge TLS_RSA_WITH_AES_256_CBC_SHA, men än bättre vore AES_GCM.

 

TIllägg: HTTPS Now Default in Yahoo Mail

Edited January 8, 2014 by JoWa

[JoWa]

Uppdatering angående stödda chiffersviter för se-mg40.mail.yahoo.com. Aktuell lista:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   ECDH 256 bits (eq. 3072 bits RSA)   FS 256
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   ECDH 256 bits (eq. 3072 bits RSA)   FS 128
• TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) 256
• TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
• TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) 128
• TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
• TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168
• TLS_RSA_WITH_RC4_128_SHA (0x5) 128
• TLS_RSA_WITH_RC4_128_MD5 (0x4) 128

ECDHE_RSA innebär att framåtsekretess (”FS” i listan) stöds.

 

 

Konstigt nog är säkerheten för login.yahoo.com mycket svagare:

• TLS_RSA_WITH_RC4_128_MD5 (0x4) 128
• TLS_RSA_WITH_RC4_128_SHA (0x5) 128
• TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
• TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) 128
• TLS_RSA_WITH_SEED_CBC_SHA (0x96) 128
• TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 168
• TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
• TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) 256

RSA innebär att framåtsekretess inte stöds. Bästa stödda krypteringsprotokoll är TLS 1.0.