Google utilise-t-il TLS
Apporter la sécurité des transports modernes vers Google Cloud avec TLS 1.3
Par exemple, Netflix a également récemment adopté TLS 1.3, et les améliorations observées dans l’expérience utilisateur autour du retard de lecture (lié au réseau) et des repères (souvent liés au processeur).
Google utilise maintenant toujours TLS / SSL pour les connexions Gmail
Nous avons été heureux aujourd’hui de lire que Google change maintenant son service Gmail pour toujours Utilisez des connexions cryptées TLS. Comme ils le notent dans leur article de blog d’annonce:
À partir d’aujourd’hui, Gmail utilisera toujours une connexion HTTPS cryptée lorsque vous vérifiez ou envoyez un e-mail. Gmail a pris en charge les HTTPS depuis le jour de son lancement, et en 2010, nous avons fait de HTTPS la valeur par défaut. Le changement d’aujourd’hui signifie que Personne ne peut écouter sur vos messages alors qu’ils vont et venaient entre vous et les serveurs de Gmail—Il non si vous utilisez le WiFi public ou vous vous connectez depuis votre ordinateur, votre téléphone ou votre tablette.
Le point clé est celui que j’ai souligné en gras dans le texte: les attaquants ne peuvent pas écouter sur vos messages au fur et à mesure de votre client de messagerie (qui pourrait être votre navigateur Web) et les serveurs de Gmail. De toute évidence, les messages pourraient encore être potentiellement affichés soit sur votre appareil client ou sur les serveurs de Gmail… mais cette étape supprime la possibilité de voir les messages “sur le fil”.
Ceci est un excellent exemple du type d’action que nous aimerions voir pour rendre la communication sur Internet plus sécurisée – et pourquoi nous avons lancé notre nouvelle section “TLS for Applications” de ce site. Nous voulons encourager davantage de fournisseurs d’applications et de développeurs à faire les étapes que Google a faites ici.
Félicitations à l’équipe Google / Gmail pour avoir franchi cette étape!
Avertissement: les points de vue exprimés dans ce post sont ceux de l’auteur et peuvent ou non refléter des postes officiels de la société sur Internet.
Google utilise-t-il TLS
Chef de produit, CDN
Gabriel Redner
Ingénieur logiciel, Cloud LB
Nous passons beaucoup de temps à réfléchir à la façon d’améliorer les protocoles Internet sur Google, tous les deux pour nos clients de Google Cloud et pour nos propres propriétés. De notre travail en développant SPDY en HTTP / 2 et Quic en HTTP / 3, nous savons que l’amélioration des protocoles que nous utilisons sur Internet est essentiel pour améliorer l’expérience utilisateur.
La sécurité des couches de transport, ou TLS, est une famille de protocoles Internet que Google a joué un rôle important dans le développement. Anciennement connu sous le nom de SSL, TLS est la principale méthode pour sécuriser les connexions Internet entre les serveurs et leurs clients. Nous avons d’abord activé TLS 1.3 à Chrome en octobre 2018, en même temps que Mozilla l’a apporté à Firefox. Aujourd’hui, la majorité des clients modernes soutiennent TLS 1.3, y compris les versions récentes d’Android, d’iOS d’Apple et du navigateur Edge’s Edge, ainsi que Boringssl, OpenSSL et Libcurl. Prise en charge de TLS 1.3 est varié et apporte des avantages sociaux et de sécurité à une grande partie d’Internet.
Compte tenu de cela, nous avons récemment déployé TLS 1.3 comme par défaut pour tous les clients de CDN cloud et de charge mondial existants. TLS 1.3 est déjà utilisé dans plus de la moitié des connexions TLS sur Google Cloud, presque sur la fiche avec Google dans son ensemble.
Pour gagner en confiance que nous pourrions le faire en toute sécurité et sans avoir un impact négatif sur les utilisateurs finaux, nous avons précédemment activé TLS 1.3 Tous les recherches, Gmail, YouTube et de nombreux autres services Google. Nous avons également surveillé les commentaires que nous avons reçus lorsque nous avons déployé TLS 1.3 en chrome. Cette expérience antérieure a montré que nous pouvions activer en toute sécurité TLS 1.3 dans Google Cloud par défaut, sans obliger les clients à mettre à jour leurs configurations manuellement.
Qu’est-ce que TLS 1.3, et qu’est-ce que cela apporte?
TLS 1.3 est la dernière version du protocole TLS et apporte des améliorations de sécurité notables à vous et à vos utilisateurs, aligné sur notre objectif de sécuriser Internet.
- Ciphers modernes et algorithmes d’échange de clés, avec le secret avant comme ligne de base.
- Élimination des chiffres plus anciens et moins sécurisés et des méthodes d’échange clés, ainsi qu’une réduction globale de la complexité du protocole.
- LAFENCE DE COUPE BASE (un aller-retour entre le client et le serveur) pour les poignées de main complètes, ce qui contribue directement à une bonne expérience de l’utilisateur final.
Cette combinaison de performances et de prestations de sécurité est particulièrement notable: la perception est souvent que l’une doit en élaborer l’une pour l’autre, mais les conceptions modernes peuvent améliorer les deux. Notamment, TLS 1.3 peut avoir des avantages démesurés pour les utilisateurs sur:
- Réseaux congestionnés, ce qui est particulièrement pertinent en période d’augmentation de l’utilisation d’Internet.
- Connexions de latence plus élevée – en particulier les appareils cellulaires (mobiles) – où la réduction destiné à la poignée est particulièrement significative.
- Appareils à faible puissance, grâce à la liste organisée des chiffres.
Par exemple, Netflix a également récemment adopté TLS 1.3, et les améliorations observées dans l’expérience utilisateur autour du retard de lecture (lié au réseau) et des repères (souvent liés au processeur).
Comme avantage supplémentaire, les clients qui doivent répondre aux exigences du NIST, y compris beaucoup.S. Les agences gouvernementales et leurs entrepreneurs peuvent commencer à répondre à l’exigence de soutenir TLS 1.3 Avant la date limite du NIST du 1er janvier 2024.
Et après?
TLS 1.3 a rapidement pris la responsabilité de sécuriser les grandes étendues du trafic Internet des clients de Google Cloud, et nous nous attendons à ce que la proportion augmente à mesure que de plus en plus de clients en prennent en charge. Étaient déjà!) Travailler sur le prochain ensemble de protocoles modernes pour apporter à nos clients Google Cloud, y compris TCP BBRV2, ainsi que IETF Quic et HTTP / 3, qui sont sur le point d’être finalisés. Nous prévoyons également de soutenir TLS 1.3 0-RTT (bien que les clients devront
Apporter la sécurité des transports modernes vers Google Cloud avec TLS 1.3
Par exemple, Netflix a également récemment adopté TLS 1.3, et les améliorations observées dans l’expérience utilisateur autour du retard de lecture (lié au réseau) et des repères (souvent liés au processeur).
Google utilise maintenant toujours TLS / SSL pour les connexions Gmail
Nous avons été heureux aujourd’hui de lire que Google change maintenant son service Gmail pour toujours Utilisez des connexions cryptées TLS. Comme ils le notent dans leur article de blog d’annonce:
À partir d’aujourd’hui, Gmail utilisera toujours une connexion HTTPS cryptée lorsque vous vérifiez ou envoyez un e-mail. Gmail a pris en charge les HTTPS depuis le jour de son lancement, et en 2010, nous avons fait de HTTPS la valeur par défaut. Aujourd’hui’Le changement signifie que Personne ne peut écouter sur vos messages alors qu’ils vont et viennent entre vous et Gmail’serveurs S– non si vous’re utilisez le WiFi public ou vous connectez à partir de votre ordinateur, téléphone ou tablette.
Le point clé est celui que j’ai souligné en gras dans le texte: les attaquants ne peuvent pas écouter sur vos messages au fur et à mesure de votre client de messagerie (qui pourrait être votre navigateur Web) et Gmail’serveurs S. De toute évidence, les messages pourraient encore être potentiellement affichés soit sur votre appareil client, soit sur Gmail’S serveurs… mais cette étape supprime la possibilité de visualiser les messages “sur le fil”.
C’est un excellent exemple du type d’action que nous’D si vous aimons voir la communication sur Internet plus sécurisée et pourquoi nous avons lancé notre nouveau “TLS pour les applications” Section de ce site. Nous voulons encourager davantage de fournisseurs d’applications et de développeurs à faire les étapes que Google a faites ici.
Félicitations à l’équipe Google / Gmail pour avoir franchi cette étape!
Avertissement: les points de vue exprimés dans ce post sont ceux de l’auteur et peuvent ou non refléter des postes officiels de la société sur Internet.
Google utilise-t-il TLS
Chef de produit, CDN
Gabriel Redner
Ingénieur logiciel, Cloud LB
Nous passons beaucoup de temps à réfléchir à la façon d’améliorer les protocoles Internet sur Google, tous les deux pour nos clients de Google Cloud et pour nos propres propriétés. De notre travail en développant SPDY en HTTP / 2 et Quic en HTTP / 3, nous savons que l’amélioration des protocoles que nous utilisons sur Internet est essentiel pour améliorer l’expérience utilisateur.
La sécurité des couches de transport, ou TLS, est une famille de protocoles Internet que Google a joué un rôle important dans le développement. Anciennement connu sous le nom de SSL, TLS est la principale méthode pour sécuriser les connexions Internet entre les serveurs et leurs clients. Nous avons d’abord activé TLS 1.3 à Chrome en octobre 2018, en même temps que Mozilla l’a apporté à Firefox. Aujourd’hui, la majorité des clients modernes soutiennent TLS 1.3, y compris les versions récentes d’Android, Apple’S iOS et Microsoft’S BROWSER S EDGE, ainsi que BoringSSL, OpenSSL et Libcurl. Prise en charge de TLS 1.3 est varié et apporte des avantages sociaux et de sécurité à une grande partie d’Internet.
Compte tenu de cela, nous avons récemment déployé TLS 1.3 comme par défaut pour tous les clients de CDN cloud et de charge mondial existants. TLS 1.3 est déjà utilisé dans plus de la moitié des connexions TLS sur Google Cloud, presque sur la fiche avec Google dans son ensemble.
Pour gagner en confiance que nous pourrions le faire en toute sécurité et sans avoir un impact négatif sur les utilisateurs finaux, nous avons précédemment activé TLS 1.3 Tous les recherches, Gmail, YouTube et de nombreux autres services Google. Nous avons également surveillé les commentaires que nous avons reçus lorsque nous avons déployé TLS 1.3 en chrome. Cette expérience antérieure a montré que nous pouvions activer en toute sécurité TLS 1.3 dans Google Cloud par défaut, sans obliger les clients à mettre à jour leurs configurations manuellement.
Qu’est-ce que TLS 1.3, et qu’est-ce que cela apporte?
TLS 1.3 est la dernière version du protocole TLS et apporte des améliorations de sécurité notables à vous et à vos utilisateurs, aligné sur notre objectif de sécuriser Internet.
Plus précisément, TLS 1.3 fournit:
- Ciphers modernes et algorithmes d’échange de clés, avec le secret avant comme ligne de base.
- Élimination des chiffres plus anciens et moins sécurisés et des méthodes d’échange clés, ainsi qu’une réduction globale de la complexité du protocole.
- LAFENCE DE COUPE BASE (un aller-retour entre le client et le serveur) pour les poignées de main complètes, ce qui contribue directement à une bonne expérience de l’utilisateur final.
Cette combinaison de performances et de prestations de sécurité est particulièrement notable: la perception est souvent que l’une doit en élaborer l’une pour l’autre, mais les conceptions modernes peuvent améliorer les deux. Notamment, TLS 1.3 peut avoir des avantages démesurés pour les utilisateurs sur:
- Réseaux congestionnés, ce qui est particulièrement pertinent en période d’augmentation de l’utilisation d’Internet.
- Connexions de latence plus élevée – en particulier les appareils cellulaires (mobiles) – où la réduction destiné à la poignée est particulièrement significative.
- Appareils à faible puissance, grâce à la liste organisée des chiffres.
Par exemple, Netflix a également récemment adopté TLS 1.3, et les améliorations observées dans l’expérience utilisateur autour du retard de lecture (lié au réseau) et des repères (souvent liés au processeur).
Comme avantage supplémentaire, les clients qui doivent répondre aux exigences du NIST, y compris beaucoup.S. Les agences gouvernementales et leurs entrepreneurs peuvent commencer à répondre à l’exigence de soutenir TLS 1.3 AVANT NIST’S 1 janvier 2024 Date limite.
Quoi’S suivant?
TLS 1.3 a rapidement pris la responsabilité de sécuriser de grandes étendues de clients de Google Cloud’ le trafic Internet, et nous nous attendons à ce que la proportion se développe à mesure que de plus en plus de clients en prennent en charge. Nous’re (déjà!) Travailler sur le prochain ensemble de protocoles modernes pour apporter à nos clients Google Cloud, y compris TCP BBRV2, ainsi que IETF Quic et HTTP / 3, qui sont sur le point d’être finalisés. Nous’RE Planifie également de soutenir TLS 1.3 0-RTT (bien que les clients devront mettre à jour leurs applications pour en bénéficier) et une compression de certificat.
Google utilise-t-il TLS
Ce flux officiel de l’équipe Google Workspace fournit des informations essentielles sur les nouvelles fonctionnalités et améliorations pour les clients de Google Workspace.
Jeudi 2 avril 2020
Améliorer la sécurité des e-mails dans Gmail avec TLS par défaut et d’autres nouvelles fonctionnalités
Quoi’S changeant
Récemment, le blog Google Security a décrit comment l’utilisation de Transport Layer Security (TLS) est passée à plus de 96% de tous les trafics observés par un navigateur Chrome sur Chrome OS. Le billet de blog a également mis en évidence un objectif important: activer TLS par défaut pour nos produits et services Google, et pour s’assurer que TLS fonctionne hors de la boîte.
Gmail prend déjà en charge le TLS, de sorte que si la connexion par courrier du protocole de transfert de courrier simple (SMTP) peut être sécurisée via TLS, il sera. Cependant, afin d’encourager davantage d’organisations à augmenter leur posture de sécurité des e-mails et à poursuivre l’objectif ci-dessus d’activer TLS par défaut, nous’ve a apporté les modifications suivantes:
- TLS pour les connexions de courrier sera désormais activé par défaut
- Les administrateurs sont désormais en mesure de tester leurs itinéraires sortants SMTP’ Configuration TLS dans la console d’administration avant le déploiement. Ils n’ont plus besoin d’attendre que les messages rebondissent.
OMS’s touché
Pourquoi ça’s important
Nous recommandons toujours que les administrateurs permettent des fonctionnalités de sécurité du courrier existantes, y compris SPF, DKIM et DMARC, pour aider à protéger les utilisateurs finaux. Nous recommandons également que les administrateurs activent la sécurité des transports stricts du MTA (MTA-STS), qui améliore la sécurité de Gmail en exigeant des chèques d’authentification et du cryptage pour le courrier électronique envoyé à leurs domaines. L’activation de TLS par défaut sur les nouvelles routes de courrier SMTP améliore la posture de sécurité de nos clients tout en permettant aux administrateurs de tester les connexions avant de faire respecter la TLS sur.
Ce changement n’aura pas d’impact.
Détails supplémentaires
TLS activé par défaut sur les nouveaux itinéraires de courrier
Avec TLS activé par défaut pour les nouveaux itinéraires de courrier, toutes les exigences de validation des certificats sont également activées par défaut. Cela garantit que les hôtes bénéficiaires ont un certificat délivré pour l’hôte correct qui a été signé par une autorité de certificat de confiance (CA). Voir plus de détails sur la façon dont nous’Rediger les exigences pour CAS de confiance ci-dessous.
Les administrateurs auront toujours la possibilité de personnaliser leurs paramètres de sécurité TLS sur les itinéraires de courrier nouvellement créés. Par exemple, si le courrier est transmis à des serveurs de courrier tiers ou sur site à l’aide de certificats de CA internes, les administrateurs peuvent avoir besoin de désactiver la validation du certificat CA. Désactiver la validation du certificat CA, ni même la désactivation entièrement TLS, n’est pas recommandé. Nous encourageons les administrateurs à tester leur configuration SMTP TLS dans la console d’administration afin de valider la connexion TLS aux serveurs de messagerie externes avant de désactiver toute validation recommandée. Voir plus de détails sur la façon de tester les connexions TLS dans la console d’administration.
Certificat Autorité méfiante à Gmail
Dans le passé, le blog Google Security a mis en évidence les cas où Chrome ne ferait plus confiance aux certificats Root CA utilisés pour intercepter le trafic sur Internet public et où Chrome se méfie des CAS spécifiques.
Si ces scénarios se produisent à l’avenir, ces certificats se méfieront également de Gmail. Lorsque cela se produit, le courrier envoyé à l’aide de routes qui nécessitent TLS avec l’application du certificat signé de CA peuvent rebondir si le CA n’est plus fiable. Bien que la liste des certificats racine fiable par Gmail puisse être récupérée du référentiel de services Google Trust, nous encourageons les administrateurs à utiliser la fonction de connexion TLS Test dans la console d’administration pour confirmer si les certificats se sont méfiés.
Tester les connexions TLS dans la console d’administration
Les administrateurs peuvent désormais utiliser la nouvelle fonctionnalité de connexion TLS Test pour vérifier si une route de courrier peut établir avec succès une connexion TLS avec une validation complète à n’importe quelle destination, comme un serveur de messagerie sur site ou un relais de messagerie tiers, avant d’appliquer TLS pour cette destination.
Commencer
Admins:
Paramètres TLS
TLS sera allumé par défaut pour tous les nouveaux itinéraires de courrier. Nous recommandons aux administrateurs d’examiner tous leurs itinéraires existants et d’activer toutes les options de sécurité TLS recommandées pour ces itinéraires également.
Tester les connexions TLS
Les administrateurs qui souhaitent exiger une connexion TLS sécurisée pour les e-mails peuvent désormais vérifier que la connexion au serveur de messagerie du destinataire est valable simplement en cliquant sur le “Tester la connexion TLS” bouton dans la console d’administration; Ils n’ont plus besoin d’attendre que les e-mails rebondissent.
Toutes les validations de certificat sont désormais activées par défaut lors de la création d’un nouveau paramètre de conformité TLS. |
TLS et toutes les validations de certificat sont désormais activées par défaut lors de la création d’un nouvel itinéraire de courrier. |
Les utilisateurs finaux: Il n’y a pas de paramètres utilisateur final pour ces fonctionnalités.
Rythme de déploiement
- Domaines de libération rapide et planifiée: déploiement prolongé (potentiellement plus de 15 jours pour la visibilité des fonctionnalités) à partir du 2 avril 2020
Disponibilité
- Disponible pour tous les clients G Suite
Ressources
- Aide d’administration G Suite: Exiger que le courrier soit transmis via une connexion sécurisée (TLS)
- Aide d’administration G Suite: Ajouter des itinéraires de courrier pour la livraison avancée Gmail
- Aide d’administration G Suite: Présentation des connexions SSL
- Aide d’administration G Suite: Configurez une passerelle de courrier sortant
- Aide d’administration G Suite: intégrer Gmail avec une solution d’archivage tierce