Yahoo! passa a criptografar tráfego de seus servidores e sites

O Yahoo! anunciou nesta semana um bom passo rumo à proteção completa de seus dados. Segundo um post de Alex Stamos, chefe de segurança da empresa, a partir de agora, o tráfego entre os servidores dele passa a ser todo criptografado, e o mesmo acontecerá na página inicial do site e nas pesquisas feitas em quase todos os domínios da companhia.

A notícia vem alguns meses depois de o Yahoo! descobrir que a NSA interceptava parte de seus canais de comunicação, graças a documentos vazados por Edward Snowden. Medidas contraespionagem começaram a ser tomadas um dia depois da denúncia, em 1º de novembro, e envolveram também a encriptação de dados no Yahoo! Mail.

De acordo com o texto de Stamos, as novidades que essa mudança de mentalidade na empresa trouxe ainda incluíram suporte a TLS 1.2 (protocolo de segurança sucessor do SSL), a Perfect Forward Secrecy (PFS, sistema “gerador” de chaves de criptografia, disponível no Twitter, por exemplo) e às próprias chaves de 2048-bit. Por ora, esses recursos funcionam apenas na homepage, no e-mail e nas revistas digitais, mas devem logo ser estendidas a todos os sites do Yahoo!.

Ainda há trabalho a ser feito, no entanto, e a meta da companhia é mesmo encriptar a plataforma inteira – e ainda encorajar seus parceiros para que façam o mesmo e ajudem a proteger todo o ecossistema da empresa. Os passos incluirão a "blindagem" do Yahoo! Messenger, a implementação do HSTS (mecanismo que torna obrigatória a conexão por HTTPS), a adoção do próprio HTTPS como padrão em todos os sites do Yahoo! e a adição do Certificate Transparency, para monitorar os certificados digitais das páginas.

Não há um prazo definido para que todas essas mudanças sejam concluídas, mas a implantação das principais deve acabar ainda nesse primeiro quadrimestre do ano. “Nossa luta para proteger nossos usuários e seus dados é um esforço contínuo e crítico”, escreveu Stamos – o que dá a entender que, aparentemente, a empresa seguirá melhorando nesse aspecto.